雲上環境的配置錯誤可能引發安全性漏洞、效能瓶頸或資料泄露。雲安全態勢管理通過自動化的檢查策略,定期掃描雲產品配置,以發現並修複潛在的配置風險。
配置檢查項
Security Center內建了預定義的雲產品配置風險檢查項。為使檢查結果更加精準並符合特定業務需求,可在掃描前對這些檢查項進行自訂,從而提升檢查結果的準確性和業務匹配度。
自訂檢查項:依據內部安全規範或特定風險情境,建立並管理全新的自訂檢查項。
預定義檢查項:對於部分支援自訂的預定義檢查項(如檢查OSS Bucket防盜鏈配置、閑置使用者、密碼有效期間等),可以修改其檢查規則的參數,使其更貼合業務安全基準。
自訂檢查項
適用範圍
版本支援:需開通雲安全態勢管理付費版本,更多內容參見開通付費版雲安全態勢管理功能。
支援檢查的服務商:阿里雲、騰訊雲、AWS。
檢測情境:合規風險、AI安全態勢管理和安全风险,更多說明請參見檢查規則。
自訂檢查項的配置和使用流程
流程圖如下:
配置和發布自訂檢查項
進入新增頁面
訪問Security Center控制台-風險治理-雲安全態勢管理,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在雲產品配置風險頁簽,單擊新增自訂檢查項。
設定基本資料
在基本資料設定頁簽,參照如下資訊完成配置後,單擊下一步。
檢查項分類設定:通過為檢查項設定分類歸屬,可使其在報告中更易于歸類和篩選。
可單擊添加按鈕,為檢查項設定多個分類。
包含以下分類體系,並支援自訂擴充:
歸屬情境:定義檢查項所屬的頂層領域。支援選擇合規風險、AI安全態勢管理和安全风险。
歸屬標準/歸屬條例/歸屬章節:系統不僅提供預定義選項,還支援通過下拉式清單中的新增功能建立自訂條目,以滿足特定的歸類需求。
檢查項說明:描述該檢查項的內容,比如檢查的服務商、雲產品,以及簡要的規則說明。
處置方案:提供當檢查出風險時,建議的手動修複步驟。
參考:可填寫檢查對象配置協助文檔連結,若無協助資料,可填“無”。
風險等級:設定當前檢查項歸屬的風險等級(高危、中危或低危),便於使用者判斷風險影響程度。風險等級評定說明,請參見評定風險等級。
設定檢查項規則
在檢查項規則設定頁簽,參照如下資訊完成配置後,單擊下一步。
檢查執行個體對象:選擇服務商下需要檢查的雲產品類型,例如
ECS-Instance或OSS-Bucket。關聯資產及參數設定(可選):如果需要結合其他資產對象配置檢查規則,可單擊新增關聯資產,設定與檢查執行個體對象相關聯的資產(如Vpc)。
說明如果可關聯屬性下拉式清單為空白,表示當前的檢查執行個體對象不支援關聯資產及參數的設定,具體可選的參數以控制台顯示為準。
配置後可在檢查項內容設定時,設定對關聯資產的檢測,增加檢測的準確性、完整性。
可關聯屬性:指當前檢查執行個體對象中,可用於建立關聯的參數。
被關聯資產:可以與可關聯屬性關聯的資產類型。
被關聯資產屬性:指被關聯資產中,與可關聯屬性進行有關的參數。
檢查項內容設定:定義檢查邏輯的核心。
單擊添加條件,展開檢查項條件配置區。
在配置地區,單擊添加條件或添加組。
條件關係說明:
組內:單個條件組可配置多個條件,關係可設為“AND”或“OR”,每個條件組下最多包含10個條件。
組間:可配置多個條件組,組與組之間同樣以“AND”或“OR”關聯,每個檢查項最多包含5個條件組。
關係樣本:
假設分3組,關係為“
group1ANDgroup2ORgroup3”。group1組內關係為AND,group2組內關係為OR,group3組內關係為AND。
參數說明:可設定檢查執行個體對象和被關聯資產相關的參數。
說明可單擊參數右側的
表徵圖,查看參數的資料類型、樣本和描述資訊。
操作符說明:
In/NotIn:檢查值是否存在於一個集合中。
Equals/NotEquals:檢查兩個值是否相等。
儲存並測試
填寫完所有資訊後,在檢查項規則設定頁簽,單擊測試。
在測試地區中,根據配置的檢測執行個體選擇當前帳號下的測試執行個體(如OSS的Bucket,ECS執行個體ID、SLS的日誌project等)後,單擊測試。
若顯示檢查項已通過,說明根據配置內容可正確解析資料。如果測試結果不符合預期檢查結果,請確認檢查條件設定正確,然後重新測試。
測試符合檢查項預期檢查結果後,單擊儲存。
說明已儲存而未發布的檢查項,支援編輯、發布和刪除。
發布
可在測試通過後,在檢查項規則設定頁簽點擊發布,或在自訂檢查項列表頁,單擊目標檢測項操作列的發布按鈕。
重要只有發行的檢查項,才能在檢查項列表展示和使用。
發布後的檢查項不支援修改。
管理自訂檢查項
已添加的自訂檢查項,可在雲安全態勢管理風險頁面右上方的自訂檢查項管理,進行查看、編輯、發布、下線或刪除檢查項等操作。
下線:查項被下線後,將會清空原有檢查項規則及歷史掃描結果。
編輯:單擊目標檢查項名稱,可進入編輯頁面。
說明對於發行的檢查項,如果需要修改,需要先執行下線操作。
刪除:檢查項被刪除後,歷史檢查資料及警示資訊也會隨之清除。
預定義檢查項
適用範圍
修改預定義規則,需開通雲安全態勢管理付費版本,更多內容參見開通付費版雲安全態勢管理功能。
操作步驟
訪問Security Center控制台-風險治理-雲安全態勢管理,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在雲產品配置風險頁簽,搜尋是否支援自訂參數為是的檢查項,單擊目標檢查項名稱。
在檢查項詳情面板,單擊參數配置。
說明如果沒有該按鈕,表示該檢查項的配置不支援修改。
在參數配置面板的可修改參數列,單擊+新增可修改參數,在下拉式清單中選擇需要修改的參數。
在編輯參數列,修改參數值後,單擊確定。
說明修改後的規則將在下一次掃描時生效。
設定檢查策略
更新檢查項後,可以通過配置自動檢測策略和加白策略,來精細化管理雲產品配置的風險掃描範圍、頻率及例外項。
配置自動檢測策略:通過開啟並配置雲安全態勢管理自動檢測功能,可實現對指定雲產品的按需風險檢查,並支援按周期進行自動化掃描,確保持續發現配置風險。
配置加白策略:將指定雲產品執行個體的特定檢查項設為例外,避免不必要的風險警示。該策略對周期性自動檢查和手動檢查均生效。
配置自動檢測策略
在頁面右上方,單擊策略管理,並切換至雲產品掃描策略頁簽。
開啟雲安全態勢管理自動檢測開關,並配置以下專案:
檢查周期:設定風險檢查的執行頻率。
檢查時間:設定具體的執行時間點。
檢查項選擇:可從“預定義檢查項”或“發行的自訂檢查項”中進行選擇。
選擇檢查項後,列表上方將顯示單次掃描的預估授權消耗數。
說明由於實際檢查過程中執行個體可能發生增減,該預估值僅供參考。
完成策略配置後,Security Center將按照設定的策略,自動對雲產品配置進行風險掃描
配置加白策略
操作步驟
在頁面右上方,單擊策略管理。
在頁簽,單擊新增加白策略。
在右側面板中,參考如下說明完成配置後,然後單擊確定。
檢查項:選擇需要豁免檢查的具體專案,更多說明請參見檢查規則。
策略應用範圍:選擇策略生效的範圍,這會影響策略對新增執行個體的適用性。
全部執行個體:按檢查項進行加白。對於該雲產品,所有現有及未來新增的執行個體,都將不執行此項檢查,且不在風險列表中展示相關風險。
部分執行個體:按執行個體進行加白。僅對當前選定的執行個體不執行此項檢查,未來新增的執行個體仍會接受此項檢查。
重要選擇“全部執行個體”進行加白是一個高風險操作,可能導致新的安全風險被忽略。建議優先使用“部分執行個體”進行精確加白,並定期審計加白策略的必要性。
管理加白策略
管理規則:已添加的白名單規則會展示在 “雲產品檢查項加白” 列表中。在此列表中,可以對規則進行編輯(修改應用範圍)或刪除(取消加白)。
自動同步:在處理風險時手動標記為“已處理/加白”的檢查項,其規則也會自動同步到此加白列表中。具體操作,請參見處理未通過檢查項的雲產品配置。
執行雲產品配置風險檢查
Security Center功能支援周期性自動檢查和即時手動檢查。以下是兩種檢測方式的說明:
周期性自動檢查:系統將根據配置自動檢測策略中設定的周期和時間自動執行掃描。
即時手動檢查:
在雲產品配置風險頁簽的操作地區,單擊立即掃描。
選擇掃描模式:
全量掃描:對所有支援的雲產品和檢查項(包含自訂和與定義檢查項)執行一次全面的掃描。
按策略掃描:僅根據中策略管理已勾選的檢查項執行掃描。
掃描完成後,可在雲產品配置風險列表中查看所有未通過的檢查項,並根據處置方案進行修複。
修複未通過的檢查項
完成雲產品配置風險檢查後,可在的雲產品配置風險中查看所有未通過的檢查項,並根據處置方案進行修複。具體操作,請參見查看並處理未通過檢查項。
常見問題
發布後的自訂檢查項發現邏輯錯誤怎麼辦?
單擊雲安全態勢管理風險頁面右上方的自訂檢查項管理。
定位至目標檢查項,執行下線操作,使其恢複到可編輯狀態。
警告請注意,下線操作會清除該檢查項之前所有的歷史掃描結果,此操作無法復原。
修改並充分測試後,再重新發布。
如何查看建立的自訂檢查項?
的雲產品配置風險中,根據新時設定的歸屬目錄查看自訂檢查項。
