云平台配置检查 - 云安全中心

云安全中心的云平台配置检查功能可帮助您检查云产品的安全配置是否存在安全隐患。本文介绍如何使用云平台配置检查功能。

背景信息

云平台配置检查功能CSPM（Cloud Security Posture Management）支持从身份权限管理、阿里云产品安全风险和合规风险三个维度检测云环境中的配置问题和安全风险，为您的云上业务提供更安全的运行环境。

云服务中的配置错误或操作不当可能会导致云服务被成功攻击。云安全中心云平台配置检查功能可以有效识别云环境中的配置风险，及时处理检测出的风险项，可以帮您有效降低云上业务被攻击的可能性。

版本说明

云安全中心企业版和旗舰版支持所有检查项，免费版、防病毒版和高级版仅支持下表中的检查项。您可以在云安全中心控制台云平台配置检查页面，查看具体支持的检查项列表。


检查项分类	检查项类型	检查项名称
身份权限管理（CIEM）	RAM身份认证	主账号启用MFA
身份权限管理（CIEM）	RAM身份认证	子账号启用MFA
阿里云最佳安全实践（安全风险）	安全	DDoS-高防回源配置
	安全	WAF-高防回源配置
	弹性计算	ECS-安骑士状态
		ECS-密钥对登录
		ECS-自动快照策略
		ECS-存储加密
	DevOps与治理	操作审计-日志配置
	DevOps与治理	云效-Codeup代码安全
	存储	OSS-Bucket权限设置
		OSS-日志记录配置
		OSS-跨区域复制配置
	数据仓库	PostgreSQL-白名单配置
	NoSQL数据库	MongoDB-白名单配置
	NoSQL数据库	Redis-白名单配置
	关系型数据库	RDS-白名单配置
		PolarDB-白名单配置
		RDS-开启数据库备份
		RDS-端口配置
		PolarDB-使用安全版本
	网络	CLB-高危端口暴露
		CLB-白名单配置检查
		CLB-证书过期
		CLB-健康状态

（可选）步骤一：修改检查项配置

云安全中心支持修改部分检查项的检测规则，例如OSS-Bucket防盗链配置、闲置用户清理、密码有效期等检查项。您可以根据实际业务需要修改检测规则，使检测结果更加准确并符合您的需求。支持修改的检查项在检查项详情面板有修改检查项配置入口。如果没有该入口，表示云安全中心不支持修改该检查项的配置。

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在左侧导航栏，选择风险管理 > 云平台配置检查。
在云平台配置检查页面，单击检查项名称。
在检查项详情面板，单击修改检查项配置。
在修改检查项配置面板，在可修改参数列单击+新增可修改参数，在下拉列表中选择需要修改的参数并设置编辑参数，单击确定。
如果有多个可修改参数，您可以单击+新增可修改参数设置同一检查项中的不同参数。
修改的检测规则会立即生效，在下一次执行云平台配置检查后，即可查看检查结果。

步骤二：执行云平台配置检查

云平台配置检查功能支持手动检查和自动检查。云安全中心各版本支持的检查项详情，请参见版本说明。

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在左侧导航栏，选择风险管理 > 云平台配置检查。
在云平台配置检查页面，进行云平台配置检查。
- 手动检查
  如果您想立即了解云产品配置是否存在安全风险，您可以在云平台配置检查页面，单击立即扫描，对云产品配置进行全量检查。
- 自动检查
  您也可以设置自动检查，云安全中心会在您设置的时间执行云平台配置检查。
  1. 在云平台配置检查页面右上角，单击检查设置。
  2. 在检查设置面板，配置云平台配置检查的检查周期、检查时间以及选中要检查的安全风险检测项，单击确定。
说明
- 默认检查周期为周一到周日随机的某一天，您可以按业务需要自行设置检查周期。
- 对云产品配置进行全量检查需要一段时间，请耐心等待。

步骤三：查看云平台配置检查结果

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在左侧导航栏，选择风险管理 > 云平台配置检查。
在云平台配置检查页面，查看云平台配置检查项结果。
- 查看总览
  在云平台配置检查页面上方的总览区域，您可以查看CIEM、安全风险和合规风险检查项的通过率。将鼠标悬停在通过率线段上，可查看云产品配置检查结果存在的高危、中危、低危以及通过的检查项数量。
  说明不同的风险等级使用不同颜色的线段表示。
  高危：红色。表示该风险项对您资产的危害较大，建议您尽快处理。
  中危：橙色。表示该风险项对您资产的危害一般，您可以延后处理。
  低危：灰色。表示该风险项对您资产的影响较小，您可以延后处理。
- 查看目标风险项
  - 您可以在左侧全部检查项列表单击目标检查项的类型，然后在右侧的风险项列表，查看与该检查项相关的风险项列表。
  - 您还可以通过列表上方提供的风险项的筛选组件，通过风险项的等级、状态等维度，筛选出您想要查看的目标风险项。
- 查看目标风险项的详情
  单击目标风险项的检查项名称或风险项操作列的详情，展开检查项的详情面板，查看该检查项的检查项说明、处置方案、帮助资源以及威胁影响。

步骤四：处理云平台配置检查结果

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在左侧导航栏，选择风险管理 > 云平台配置检查。
在云平台配置检查页面，处理检查出的风险项。
您可以根据需要进行以下操作：
- 修复风险项
  单击目标风险项的检查项名称或风险项操作列的详情，在风险项详情面板的威胁影响区域，单击存在风险的云产品的实例ID（或账号ID、策略名称等），跳转至对应的云产品实例管理控制台。然后根据风险项详情面板上提供的处置方案及帮助资源信息，修复该云产品配置中存在的安全风险。
- 验证修复结果
  - 如果您已按照风险项详情面板上提供的修复建议，修改了威胁影响区域的受影响实例列表中云产品实例的配置，可单击该实例操作列的验证，检验新的配置是否存在安全风险。
  - 修改后的云产品实例配置在经过验证且通过检查后，该实例会从威胁影响区域的受影响实例列表中移除。该风险的状态会变为已通过。
  - 如果您需要同时验证多个风险项，可以选中这些风险项并单击列表下方的验证，在确认对话框单击确定。
- 加白名单
  重要将风险项加入白名单后，后续云平台配置检查中，将不会再上报与该风险项对应的检查项相关的风险。请您在确认风险项无安全风险后，再将检查项加入白名单。
  如果您判断检查出的某个风险项不存在安全风险，可在云平台配置检查页面的检查结果列表，定位到该风险项，单击其操作列的加白名单，将该风险项状态调整为已加白。已加白的风险项将不会包含在风险项总数中。
  您也可以在云平台配置检查页面的检查结果列表，对已加白的风险项进行取消加白的操作。