基準風險檢查完成後,Security Center從基準和檢查項維度展示基準檢查結果,您需要查看風險檢查項的加固建議,及時修複存在風險的伺服器配置,加固系統安全。
查看基準檢查結果及風險加固建議
您可以參考以下步驟,查看基準風險檢查中未通過的風險項詳情,以協助您識別需要處理的風險項及其對應的伺服器資訊。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在頁面,單擊基準風險頁簽。
在風險情況頁簽,從檢查項維度查看風險項以及加固建議。
在通過率地區,可展開查看基準的通過率。將滑鼠移至上方在通過率線段上,可查看存在的高危(紅色)、中危(橙色)、低危(黃色)以及未通過的檢查項數量。
在檢查項統計地區,單擊未通過檢查項或累計已處理檢查項下方的數字,在下方檢查項列表展示未通過或累計已處理的檢查項。
說明未通過檢查項僅統計近30天資料,累計已處理檢查項僅統計近365天資料,不包含已釋放資產。
查看目標檢查項的詳細資料及加固建議。
您可以使用列表上方的搜尋組件搜尋,按照檢查項的風險等級、狀態和類型篩選目標檢查項,也可以在搜尋方塊中輸入檢查項名稱搜尋目標檢查項。
單擊目標檢查項操作列的詳情,在詳情面板可以查看檢查項的描述、加固建議、相關基準以及受影響的資產列表。
在基準檢查策略頁簽,從基準維度查看風險項以及加固建議。
查看全部或單個基準檢查策略的檢測結果
在基準檢查策略頁簽的策略總覽地區,預設展示策略為預設策略,單擊展開
表徵圖,展開基準檢查策略菜單,可以單擊全部策略或已執行的單個策略,查看對應基準檢查策略的檢查伺服器數、基準數量、高危弱口令風險、最新檢查通過率(最近一次執行基準檢查的基準合格率)。單擊高危弱口令風險下的數字,可以查看高危弱口令風險項的列表。
重要高危弱口令風險為風險等級較高的基準風險問題,建議您優先處理。提升口令安全和常見系統口令修改方式,請參見弱口令安全最佳實務。
對於最新檢查通過率字型顏色:
綠色:表示掃描的資產中基準配置合格率較高。
紅色:表示檢查的資產中不合格的基準配置較多,可能存在安全隱患,建議前往基準檢查詳情頁面查看並修複。
查看基準維度基準檢查結果清單及加固建議
在基準檢查結果清單中,單擊基準名稱,在基準詳情面板上,查看受該基準影響的資產及基準檢查的通過項和風險項數量等資訊。
在基準詳情面板上,單擊某個受影響的資產的操作列的查看,在風險項面板上,可查看該資產上存在的所有基準風險問題。
說明如果檢查項顯示已通過,說明伺服器對應配置不存在風險加固項。
例如,對於Redis未授權訪問檢查,如果Redis沒有配置密碼,可以直接存取,但配置綁定了127.0.0.1(僅允許本機內網訪問),則基準檢查結果是已通過,表示當前未授權訪問是安全的,不存在安全風險加固項。此時,使用者可以根據自身需求選擇是否配置授權訪問。
在風險項面板上,單擊某個資產操作列的詳情,可查看Security Center提供的關於該風險項的描述、檢查提示和加固建議等資訊。
可選:返回基準詳情面板,在基準檢查結果清單右上方,單擊下載
表徵圖,在基準匯出任務選項對話方塊中選擇匯出方式,可以匯出基準檢查結果。
針對基準中包含的弱口令資訊的匯出,Security Center提供了以下匯出方式:
弱口令明文匯出:直接明文匯出基準檢查結果中的弱口令資訊。
弱口令脫敏匯出:對基準檢查結果中的弱口令資訊脫敏後再匯出。
處理未通過的基準風險檢查項
根據上文描述,可以在風險情況頁簽,按照檢查項維度處理基準風險,也可以在基準檢查策略頁簽,按照基準維度處理基準風險。
下文以按照基準維度處理基準風險為例,根據云資訊安全中心提供的加固建議,在風險項面板處理基準風險問題。
在風險項面板查看未通過檢查項後,在操作列,您可以根據需要選擇以下操作,處理對應的風險項。
修複風險項
Security Center僅支援修複部分基準檢查項風險問題,可以通過檢查項對應風險項面板是否顯示修複按鈕判斷。
如果不顯示修複按鈕,表示該風險項不支援在Security Center修複,則需要您登入存在該基準風險問題的伺服器,在伺服器上修改基準問題對應的伺服器的配置,修改完成後,在Security Center進行驗證。
如果顯示修複按鈕,表示該風險項支援在Security Center修複,您可以在Security Center直接修複基準風險問題。
在風險項面板上,單擊目標檢查項操作列的修複。
在修複風險資產對話方塊,進行如下配置後,單擊立即修複。
配置項說明如下:
配置項
說明
修複方式
設定基準風險問題的修複方式。
說明不同類型的風險項對應的修複方式不同,請根據實際情境配置修複方式。
批量處理
選擇是否要批量處理存在相同基準風險問題的其他資產。
風險保障
選擇是否通過建立快照的方式備份系統資料。
警告Security Center在修複基準風險問題時,可能存在修複失敗的風險,影響到您的業務正常運行。建議您在修複前對系統進行備份,以便在修複失敗影響您業務正常運行時,可快速恢複到執行修複操作前的狀態,使業務能正常運轉。
自動建立快照並修複:您需要設定快照名稱、快照儲存時間,然後單擊立即修複。
說明建立快照將產生費用。您可以單擊頁面上的快照計費文檔,瞭解具體的快照計費資訊。
不建立快照備份直接修複:如果您確定不建立快照直接修複基準問題,單擊立即修複即可。
復原修複操作
如果您在修複阿里雲ECS伺服器上存在的基準風險問題前,對該伺服器使用快照進行了備份,在伺服器上的基準風險問題修複失敗導致業務中斷時,您可在基準詳情面板上,單擊該伺服器操作列的復原,在復原對話方塊中,選中基準修複前備份的快照,單擊下方確定。
執行復原操作後,該伺服器的配置可恢複到基準風險問題修複前建立的快照的配置。
配置加白名單
如果您確認檢查未通過的基準檢查項無需處理,可通過加白名單功能對目標伺服器上存在的基準風險產生的警示進行加白。
重要加入白名單是將指定伺服器加入基準檢查策略的白名單。加入白名單後,後續基準檢查時會忽略對應伺服器上存在的該風險問題。
例如,基準檢查風險問題是使用非Root帳號登入執行個體,如果實際業務情境,需要使用Root帳號登入執行個體,可以加白名單處理。
在目標資產的風險項面板上,單擊待處理檢查項操作列的加白名單。在檢查項忽略原因對話方塊中填寫加白原因,然後單擊確定,將檢查項加入白名單中。
如果需要將多個檢查項加入白名單,您需要先選擇狀態為未通過並需要加入白名單的檢查項,再單擊檢查項列表下方的加白名單。
您還可以在風險情況頁簽,對多個資產的檢查項進行加白處理:
對所有資產(包括後續新增資產)的指定檢查項進行加白
在風險情況頁簽的檢查項列表中,單擊待處理檢查項操作列的加白名單,或選中多個檢查項後,單擊列表下方的加白名單。
對單個檢查項的部分資產進行加白
在風險情況頁簽下的基準檢查結果清單中,單擊待處理檢查項操作列的詳情,在風險項詳情面板的伺服器列表中,選中要加入白名單的伺服器,單擊列表下方的加入白名單。
取消加白
如果需要Security Center對已忽略的基準檢查配置項再次觸發警示,可對已忽略的檢查項或伺服器執行取消加白。取消加白後,該基準檢查配置項會再次觸發警示。
在風險項面板上,定位到需要取消白名單的檢查項,單擊其操作列取消加白,在取消加白操作對話方塊中,單擊確定,可將該檢查項移出白名單。您也可以選中多個需要取消白名單的檢查項,單擊下方取消加白,將多個檢查項大量移除白名單。
驗證基準風險問題處理結果。
在資產的風險項面板,單擊目標檢查項操作列的驗證,對已處理風險項的資產進行驗證。如果驗證通過,表示風險問題已修複,資產的風險項數值會相應減少,同時該風險項狀態會更新為已通過。
說明如果您未進行手動驗證,Security Center將根據您在掃描策略中設定的檢測周期執行自動驗證。