無代理檢測功能支援在不安裝Security Center用戶端的情況下,對雲端服務器進行安全風險評估。該功能通過掃描伺服器鏡像,在隔離環境中進行漏洞、惡意軟體、設定基準、敏感檔案等多維度安全檢測,發現潛在的安全風險,此過程對伺服器效能幾乎無影響。
適用範圍
支援的資產類型:
中國內地地區:僅支援檢測阿里雲Elastic Compute Service、雲端硬碟快照、自訂鏡像。
非中國內地地區:支援檢測阿里雲Elastic Compute Service、雲端硬碟快照、自訂鏡像以及AWS 雲端服務器 EC2、Azure虛擬機器。
阿里雲的伺服器地區支援:
華北1(青島)、華北2(北京)、華北3(張家口)
華東1(杭州)、華東2(上海)
華南1(深圳)
西南1(成都)
中國香港、新加坡、美國(維吉尼亞)、印尼(雅加達)
作業系統相容性:詳細的漏洞掃描作業系統支援列表,請參見漏洞掃描支援的作業系統。
說明FreeBSD 作業系統不支援基準檢查、惡意樣本和敏感檔案檢測。
工作原理
無代理檢測基於鏡像的離線分析技術實現,整個過程對目標伺服器效能幾乎無影響。
建立鏡像(僅限主機檢測任務):根據任務配置,系統為目標Elastic Compute Service 的磁碟建立一個整機鏡像。
共用與掛載:系統將建立的快照或鏡像共用至Security Center專用的分析叢集。
隔離掃描:在隔離的專用環境中,分析引擎掛載快照或鏡像檔案系統,並執行安全掃描。此過程不消耗目標伺服器的計算資源。
產生報告與清理:掃描完成後,系統產生風險報告,並根據配置策略自動刪除臨時建立的鏡像,以節省儲存成本。
常見使用情境
業務“零幹擾”風險盤點:對無法安裝代理或對效能零容忍的核心生產系統,進行無侵入、零資源消耗的安全風險盤點,保障商務持續性。
全平台統一資產安全檢測:覆蓋包括老舊、專有系統在內的所有資產類型,通過統一視圖快速盤點跨平台環境的整體安全狀況。
全面風險可視化檢測:通過一次掃描,全面檢測漏洞、惡意檔案、設定基準、敏感資訊等多維風險,實現全域安全狀況的可視化。
資產合規性與安全審查:在執行個體建立或業務上線前,對自訂鏡像與主機快照進行安全審查,確保交付的生產環境符合安全與合規標準。
操作步驟
開通服務
開通服務
登入Security Center控制台。選擇需防護資產所在的地區:中國內地或非中國內地。
進入頁面,單擊立即開通並勾選相關協議。
重要無代理檢測採用隨用隨付模式。
完成服務授權(首次)
首次使用時,系統會提示進行服務角色授權。根據介面引導,單擊去授權。
說明授權成功後,Security Center自動建立服務關聯角色AliyunServiceRoleForSas。關於AliyunServiceRoleForSas的更多資訊,請參見Security Center服務關聯角色。
建立並執行檢測任務
建立檢測任務
無代理檢測支援兩種類型的檢測任務:立即檢測任務、周期性檢測任務。
立即檢測任務
適用於對特定資產進行一次性的安全掃描。
主機安全檢測
在頁簽的風險檢測地區,單擊立即檢測。
在立即檢測面板,參考如下說明完成配置後,單擊確定。
掃描範圍:建議勾選選中資料盤,資料來源越完整,漏洞、警示等檢測效果越好。
鏡像儲存時間:
取值範圍為1~365,單位:天。
建立鏡像會收取相關費用,鏡像儲存天數越多收費越高。
重要勾選僅保留存在風險的鏡像後,系統將在掃描結束後自動刪除無風險鏡像。
建立任務後,Security Center將自動建立鏡像,掃描等後續操作。更多資訊,請參見自動建立快照和鏡像。
說明需要掃描的伺服器資料量越多,完成掃描任務所需的時間越長,請耐心等待任務完成。
自訂鏡像安全檢測
在頁簽的風險檢測地區,單擊立即檢測。
在立即檢測面板,選擇目標鏡像後,單擊確定。
說明若在檢測工作面板中未找到所需檢測的鏡像,請前往頁面,單擊同步最新资产,待同步完成後,重新操作該步驟。
周期性檢測任務
適用於對資產組進行週期性、自動化的安全巡檢。
進入配置頁
在無代理檢測頁面右上方,單擊掃描配置。
配置檢測範圍
在安全檢測範圍頁簽,參考如下說明完成配置後,單擊儲存。
基準檢測範圍:可單擊管理在基準檢測配置頁,查看和配置支援檢測基準範圍。
敏感檔案:可單擊管理在敏感檔案掃描組態管理頁,查看和配置檢查項。
重要若勾選新增檢查項預設掃描,後續系統更新檢查項時,會自動掃描。
配置檢測策略
在自動化檢測策略頁簽,參考如下說明完成配置後,單擊儲存。
主機檢測:請參照如下說明配置掃描資產,其餘配置說明請參見主機安全檢測。
配置掃描周期:
設定檢測任務的執行循環(如每天、每周等)。
如選擇不掃描,則表示暫停該主機檢測任務。
完成周期配置後,系統會在當天立即執行一次掃描任務。
配置扫描资产:
在扫描资产地區,單擊管理。
新增資產預設掃描:建議勾選,勾選後系統將在下個掃描周期自動納入新增的伺服器,無需手動添加。
調整檢測範圍:可通過在資產列表地區,根據需要勾選或取消勾選具體伺服器,靈活設定檢測任務的資產範圍。
自訂鏡像安全檢測:若開啟增量檢測開關後,將對未檢測過的自訂鏡像進行增量自動化檢測。
重要增量檢測需開啟Action Trail數據投遞。請在頁簽,開啟Action Trail數據投遞開關,詳情請參見功能設定。
自動建立鏡像
執行主機安全檢測任務時,系統會通過服務關聯角色 AliyunServiceRoleForSas 完成以下自動化操作:
建立鏡像:自動建立一份以
SAS_Agentless開頭的伺服器臨時快照。安全共用:將鏡像共用給Security Center官方服務帳號,以供掃描分析。
自動清理:掃描結束且超過後,將自動刪除該鏡像並不共用關係。
鏡像僅用於安全掃描且共用過程不會產生費用。
可在Action Trail控制台的事件查詢中看到一條aliyunserviceroleforsas建立鏡像的記錄。
管理檢測任務
查看任務進度
需要掃描的伺服器資料量越多,掃描任務所需的時間越長,可在控制台查看任務進度。
在無代理檢測頁面右上方,單擊任務管理。
在彈出的任務管理面板中,根據檢測類型選擇相應的頁簽。
可在列表中查看任務的執行進度和狀態。
要查看任務詳情(例如,確認某台伺服器是否已檢測),請單擊目標任務操作列的詳情。
任務失敗排查
如果任務狀態異常,可以在任務詳情頁面查看失敗原因,並參考下表進行處理。
失敗提示 | 失敗原因 | 解決方案 |
不支援目前範圍 | 指定的地區不支援。 | 請參考適用範圍,確認 ECS 所在地區是否在支援範圍內。 |
串連磁碟失敗 | 系統掛載快照磁碟時發生臨時性錯誤。 | 單擊任務操作列的重試,讓系統再次嘗試。 |
建立鏡像失敗 | ECS 鏡像數量已達到配額上限。 | |
任務處理逾時 | 掃描的資料量過大或系統繁忙,任務在規定時間內未能完成。 | 按檢測範圍將任務拆分成多個子任務,然後重新執行。 |
下載檢測結果報告(可選)
在任務管理面板中,根據檢測類型選擇相應的頁簽。
下載整個任務的報告:
單擊目標任務操作列的下載報告。
下載單台伺服器的報告:
單擊目標任務操作列的詳情或查看。
在任務詳情面板,單擊操作列的下載報告。
分析與處理風險
任務成功完成後,可以在無代理檢測頁面查看和處理所發現的安全風險。
如果同一台伺服器被多次檢測,頁面將只展示最近一次的檢測結果,舊結果會被覆蓋。
查看風險詳情
在無代理檢測頁面對應檢測策略頁簽(如主機安全檢測),進入目標的風險類型(如漏洞风险)頁簽。在列表中找到目標風險項,單擊其操作列的查看或詳情,即可瞭解具體資訊。
處理風險警示
漏洞風險
操作入口:定位到需要處理的漏洞項,在操作列單擊加白名單。
警告無代理檢測不支援修複漏洞。
支援的處理方式:加白名單。
重要將指定漏洞加入白名單,之後不再對該漏洞警示,請謹慎操作。
設定加白名單後,系統將自動同步至頁簽,可在相應的頁簽查看已添加的白名單。
基準檢查
操作入口:在檢查項列表中定位至需要處理的檢查項,在操作列單擊加白名單。
支援的處理方式:加白名單。
重要將目標檢查項加入白名單後,新增伺服器將不再檢測此檢查項,請謹慎操作。
設定加白名單後,系統將自動同步至頁簽,可在相應的頁簽查看已添加的白名單。
惡意樣本
操作入口:在警示列表中定位到需要處理的警示項後,在操作列中單擊修改狀態或處理。
支援的處理方式:
加白名單:如果警示確認無惡意行為,可以根據白名單規則及應用範圍,將該警示添加至白名單。
重要對警示進行加白處理,當相同警示再次發生時,該警示將自動進入已處理列表,不再進行警示通知,請謹慎操作。
支援對相同警示進行批量處理,不同類型的警示所支援的處理方式各不相同,請以控制台頁面的顯示為準。
設定加白名單後,系統將自動同步至頁簽,可在相應的頁簽查看已添加的白名單。
手動處理:已線下人工處理了導致該警示事件的風險問題後,再將該警示標記為手動處理。
標記誤判:將本次警示標記為誤判,Security Center將依據您的反饋建議,持續最佳化其掃描能力。
忽略:僅將忽略本次警示,當再次檢測並命中檢測策略時,仍會推送警示。
敏感檔案
操作入口:
在敏感檔案警示列表中定位到需要處理的警示項後,單擊操作列詳情,查看詳細描述和加固建議。
在詳情面板風險列表的操作列,單擊處理,在對話方塊中選擇警示的處理方式,單擊確定。
支援的處理方式:
加白名單:如果警示確認無惡意行為,可以根據白名單規則,將該警示添加至白名單。規則如下:
重要對警示進行加白處理,當相同警示再次發生時,該警示將自動進入已處理列表,不再進行警示通知,請謹慎操作。
支援配置多條規則,所有規則之間是 “與(AND)” 的關係。即同時滿足所有規則條件,才會加入白名單。
設定加白名單後,系統將自動同步至頁簽,可在相應的頁簽查看已添加的白名單。
MD5:萬用字元僅支援選擇等於,然後輸入檔案的MD5值。
路徑:萬用字元支援選擇包含、首碼、尾碼,然後輸入具體路徑。
手動處理:已線下人工處理了導致該警示事件的風險問題後,再將該警示標記為手動處理。
標記誤判:將本次警示標記為誤判,Security Center將依據您的反饋建議,持續最佳化其掃描能力。
忽略:僅忽略本次警示,當再次檢測並命中檢測策略時,仍會推送警示。
進階配置
設定檢測白名單
分析與處理風險時設定的加白規則,也會自動同步至白名單管理中,可對其進行修改、刪除等管理操作。
在無代理檢測頁面,單擊扫描设置,進入白名單管理頁簽。
根據風險類型,單擊對應頁簽下的新增規則。
參考如下說明,配置加白規則。
重要以下白名單配置對全部資產有效。
漏洞白名單
漏洞類型:僅支援Linux軟體漏洞、Windows系統漏洞、應用漏洞。
漏洞名稱:根據選擇漏洞類型,拉取最新的漏洞資料。
惡意樣本白名單
警示名稱:預設為ALL,表示白名單規則對所有類型的警示生效,不支援修改。
加白字段:預設為fileMd5,表示對檔案的MD5值進行加白,不支援修改。
通配符:僅支援選擇相等。
規則內容:輸入檔案的MD5值。
基準白名單
檢查項類型:指定不需要檢測的基準檢查項。
檢查項:根據檢查項類型拉取對應類型下具體的檢查項。
敏感檔案白名單
敏感檔案檢查項:指定不需要檢測的專案。
設定加白條件:
說明支援配置多條規則,所有規則之間是 “與” (AND) 的關係。即同時滿足所有規則條件,才會加入白名單。
MD5:萬用字元僅支援選擇等於,然後輸入檔案的MD5值。
路徑:萬用字元支援選擇包含、首碼、尾碼,然後輸入具體路徑。
接入並檢測多雲資產
無代理檢測支援在非中國內地地區接入亞馬遜雲(AWS)、Azure,接入步驟如下:
接入AWS
準備AWS訪問憑證
在 AWS 賬戶中,建立一個具有程式化存取權限的 IAM 使用者,並擷取其 Access Key ID 和 Secret Access Key。確保該使用者擁有訪問和建立 EC2 快照的許可權。
重要要使用無代理檢測功能,需要在AWS賬戶中為Security Center建立一個具特定許可權的自訂IAM策略,具體操作請參見為無代理檢測建立自訂策略。
配置接入方案
在控制台左上方,選擇非中國內地地區。
進入無代理檢測頁面,在主機安全檢測頁簽多雲資產接入地區單擊
表徵圖下方的接入。進入接入云外资产頁面,在创建子账号頁面按如下說明完成配置後,單擊下一步。
方案選擇:手动配置方案。
許可權說明:勾選無代理檢測。
提交憑證資訊
在提交AK頁簽,請準確填寫在 AWS 端建立的憑證資訊後,並單擊下一步。
子帳號 SecretID和子帳號 SecretKey:填寫步驟1擷取的AWS子帳號API密鑰資訊。
接入地區:選擇可用的 Region,系統將用選定地區驗證資產可訪問性,並擷取對應雲資源資料。
Domain:根據選擇的接入地區進行配置,AWS 中國地區請選“中國版”,其他所有地區選“國際版”。
策略配置
在策略配置頁簽,參考如下說明完成配置。
選擇地區:選擇需要接入的 AWS 資產所屬的地區。
說明資產資料會自動歸屬在Security Center控制台左上方選擇的地區對應的資料中心。
中國內地:中國內地資料中心。
非中國內地:新加坡資料中心。
新增地區接入管理:建議勾選。勾選後,該AWS帳號下未來新增地區內的資產將自動同步,無需手動添加。
AK服務狀態檢查:設定Security Center自動檢查 AWS 帳號 API 金鑰有效性的時間間隔。可選“關閉”,表示不進行檢測。
單擊確定。
完成許可權驗證和策略配置後,即可對 AWS EC2 執行個體建立無代理檢測任務。
接入Azure
準備Azure訪問憑證
在Azure門戶中建立應用註冊並為應用憑證授予訂閱存取權限。擷取接入憑證:應用程式(用戶端)ID、目錄(租戶)ID 和用戶端密碼的值。
重要要使用無代理檢測功能,需要在Azure賬戶中為Security Center配置讀者和磁碟快照參與者的角色許可權。具體操作,請參見接入Azure資產。
配置接入方案
在控制台左上方,選擇非中國內地地區。
進入無代理檢測頁面,在主機安全檢測頁簽多雲資產接入地區單擊
表徵圖下方的接入。進入接入云外资产頁面,在创建子账号頁面的許可權說明勾選無代理檢測,單擊下一步。
提交憑證資訊
在提交AK頁簽,請準確填寫在Azure端建立的憑證資訊,然後單擊下一步。
請輸入appId:對應Azure應用註冊獲得的應用程式(用戶端)ID。
請輸入password:對應Azure應用註冊獲得的用戶端密碼。
tenant:對應Azure應用註冊獲得的目錄(租戶)ID。
Domain (中國區選中國版,其他選國際版):世紀互聯使用者請選擇中國版。
策略配置
在策略配置頁簽,參考如下說明完成配置。
選擇地區:選擇需要接入的 Auzre 資產所屬的地區。
說明資產資料會自動歸屬在Security Center控制台左上方選擇的地區對應的資料中心。
中國內地:中國內地資料中心。
非中國內地:新加坡資料中心。
新增地區接入管理:建議勾選。勾選後,該AWS帳號下未來新增地區內的資產將自動同步,無需手動添加。
AK服務狀態檢查:設定Security Center自動檢查 Auzre 帳號憑證有效性的時間間隔。可選“關閉”,表示不進行檢測。
完成許可權驗證和策略配置後,即可對Azure虛擬機器建立無代理檢測任務。
應用於生產環境
效能影響:無代理檢測的掃描過程不消耗目標伺服器資源。
成本控制:無代理檢測的費用由“掃描費”和“鏡像儲存費”兩部分構成。為有效控製成本,建議在建立任務設定鏡像儲存時間時勾選僅保留存在風險的鏡像,並定期清理不再需要的快照。
配額與限制
磁碟規格:單塊雲端硬碟最大支援 1 TiB,單盤最大檢測檔案數為20,000,000個,超出部分不檢測。
伺服器限制:每台伺服器最多支援檢測 15 個雲端硬碟,超出部分不檢測。
結果保留:檢測任務的結果僅保留 30 天,到期後將自動清除。對同一資產的多次檢測,系統僅保留最近一次的檢測結果。
修複能力:本功能僅支援檢測和警示,不提供自動修複能力,根據風險詳情頁的說明,自行處理風險項。
壓縮檔限制:壓縮檔僅支援檢測JAR檔案,只解壓一層進行檢測。
檔案系統限制:支援ext2、ext3、ext4、XFS、NTFS,其中NTFS不支援依賴檔案許可權資訊的檢測項。
儲存與磁碟限制:
阿里雲ECS不支援檢測已加密的系統硬碟或資料盤。
所有主機(阿里雲和非阿里雲)均不支援檢測 LVM(邏輯卷管理)、RAID 磁碟陣列以及 ReFS 檔案系統的資料盤。
計費說明
使用無代理檢測功能產生的費用說明如下:
常見問題
無代理檢測和病毒查殺功能有什麼區別?
對比項
無代理檢測
病毒查殺
工作模式
掃描離線快照,靜態分析
線上即時監控與掃描,動態+靜態分析
伺服器狀態
可檢測開機/關機的伺服器
僅可檢測開機且Agent線上的伺服器
檢測範圍
漏洞、基準、惡意樣本、敏感檔案。
病毒、WebShell、入侵行為、漏洞等
處置能力
支援檢測、警示、加白,不提供修複。
提供一鍵隔離、查殺、修複能力。
效能影響
無 。
輕微 (Agent佔用少量系統資源)。
計費模式
隨用隨付 (按掃描GB)
訂用帳戶(防病毒版及以上版本)或隨用隨付。
掃描模式
支援全盤掃描。
支援快速掃描和自訂目錄掃描。
無代理檢測能否自動修複所有風險?
不能。僅支援檢測、警示、加白,忽略等操作,不提供自動修複能力,請根據風險詳情頁的說明,自行處理風險項。
說明高危漏洞和惡意軟體建議優先處理,基準最佳化按需整改。
非阿里雲伺服器如何使用進階檢測功能?
目前無代理檢測支援接入阿里雲ECS和AWS EC2、Azure伺服器。
重要AWS和Azure僅在非中國內地支援接入檢測,更多資訊參見接入並檢測多雲資產。
對於其他雲廠商或本機資料中心的伺服器,建議安裝Security CenterAgent,並開通防病毒版或更進階版本,以便獲得全面的安全防護能力。具體步驟,請參考購買Security Center、安裝用戶端
無代理檢測部分警示為何不顯示資產IP?
在使用無代理方式檢測時,若資產IP顯示為空白,可能的原因如下:
執行個體已釋放
當警示對應的資產執行個體被釋放後,Security Center將無法擷取該執行個體的IP資訊,因為該執行個體已經不再存在於系統中,因此無法繼續追蹤或顯示其IP地址。
資料清理機制
Security Center可能會清理已經釋放的執行個體的記錄,導致相關資訊無法載入。
附錄
檢測能力詳解
下表列出了無代理檢測支援的主要檢測項。
檢測類別 | 檢測範圍 | 詳細說明 |
漏洞風險 | Linux 軟體漏洞、Windows 系統漏洞、應用漏洞 | 支援檢測的作業系統版本請參見漏洞掃描支援的作業系統。 |
基準檢查 | 作業系統、應用、資料庫的配置合規性 | 支援檢測數百項配置,包括但不限於:
更多資訊,請前往控制台扫描配置中查看,具體操作參見基準檢測範圍。 |
惡意樣本 | 惡意指令碼、WebShell、惡意軟體 |
更多內容請參見惡意樣本。 |
敏感檔案 | 憑證資訊、密鑰檔案、設定檔 | 支援檢測常見敏感檔案,包括但不限於:
更多資訊,請前往控制台扫描配置中查看,具體操作參見敏感檔案檢測項。 |
漏洞掃描支援的作業系統
作業系統類型 | 版本 |
Windows Server |
|
Red Hat |
|
CentOS |
|
Ubuntu |
|
Debian |
|
Alpine |
|
Amazon Linux |
|
Oracle Linux |
|
SUSE Linux Enterprise Server |
|
Fedora Linux |
|
openSUSE |
|
惡意樣本
惡意樣本分類 | 說明 | 支援的檢測項 |
惡意指令碼 | 檢測資產的系統功能是否受到惡意指令碼的攻擊或篡改,將可能的惡意指令碼攻擊行為展示在檢測結果中。 惡意指令碼分為有檔案指令碼和無檔案指令碼。攻擊者在拿到伺服器許可權後,使用指令碼作為載體來達到進一步攻擊利用的目的。利用方式包括植入挖礦程式、添加系統後門、添加系統賬戶等操作。 | 支援檢測的語言套件括Shell、Python、Perl、PowerShell、Vbscript、BAT等。 |
WebShell | 檢查資產中的Web指令檔是否是惡意的,是否存在後門通訊、管理功能。攻擊者植入WebShell後,可以控制伺服器,作為後門載體來達到進一步攻擊利用的目的。 | 支援檢測的語言套件括PHP、JSP、ASP、ASPX等。 |
惡意軟體 | 檢查資產中的二進位類型檔案是否是惡意的,是否存在對資產造成破壞、持久化控制的能力。攻擊者植入惡意二進位檔案後,可以控制伺服器,用於挖礦、DDoS攻擊,或者加密資產檔案等。惡意二進位按功能主要包括挖礦程式、木馬程式、後門程式、駭客工具、勒索病毒、蠕蟲等。 | 被汙染的基礎軟體 |
可疑程式 | ||
間諜軟體 | ||
木馬程式 | ||
感染型病毒 | ||
蠕蟲 | ||
漏洞利用程式 | ||
自變異木馬 | ||
駭客工具 | ||
DDoS木馬 | ||
反彈Shell後門 | ||
惡意程式 | ||
Rootkit | ||
下載器木馬 | ||
掃描器 | ||
風險軟體 | ||
代理工具 | ||
勒索病毒 | ||
後門程式 | ||
挖礦程式 |