云安全中心为您提供告警通知、病毒查杀、网站后门查杀、客户端自保护、镜像安全扫描等安全能力,全方位保护您的云上资产和本地服务器安全。本文介绍云安全中心常用功能配置方法,帮助您简化产品使用流程。

设置云安全中心通知

完成通知设置后,云安全中心会在检测到您资产存在异常情况时,根据您在通知设置中的关注等级,在您设置的通知时间点,通过短信、邮件、站内信和钉钉机器人这些丰富的通知方式,为您及时发送告警通知,帮助您快速获取资产的安全情况。更多信息,请参见通知设置

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择系统配置 > 通知设置
  3. 通知设置页面,针对默认提供的通知项目,选择您需要的通知发送时间和通知发送方式,分别选中需要进行告警的安全事件等级。

    通知项目是指云安全中心检测到您资产中发生的威胁事件和存在的安全隐患。云安全中心支持的通知项目包括:安全周报基线检查威胁分析日志超量提醒通知安全告警精准防御AccessKey 泄露情报云平台配置检查应急漏洞情报网页防篡改容器防火墙异常告警通知容器防火墙主动防御通知恶意 IP 拦截告警通知病毒扫描通知日志超量云蜜罐告警应用防护告警

设置主动防御开关、网站后门查杀和客户端自保护

设置功能提供自定义配置恶意主机行为防御、网站后门查杀和客户端自保护等服务,您需要在设置模块中开启对应的服务,并选择需要防护的服务器。
说明 如果您未开启主动防御开关,云安全中心仅检测这类威胁,但不会对主流病毒和恶意网络行为进行自动拦截。
  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择系统配置 > 功能设置
  3. 设置页签,设置主动防御开关。
    单击恶意主机行为防御防勒索(诱饵捕获)网站后门连接防御恶意网络行为防御右侧的管理,添加需要检测的服务器,并打开检测开关。
    开启主动防御后,云安全中心将对检测出的主流病毒类型或异常连接进行自动隔离,您可在安全告警处理页面精准防御类型告警列表中,查看主动防御功能自动拦截的病毒。精准防御
  4. 设置网站后门查杀。
    网站后门查杀区域,单击管理,并添加需要开启网站后门查杀的服务器。
  5. 为服务器开启客户端自保护。
    客户端自保护区域,打开防御模式:开关,单击管理,设置需要防护的服务器。

执行镜像安全扫描

镜像安全扫描功能为云安全中心增值服务,您需要预先购买足够的容器镜像安全扫描次数,才能使用该功能。具体操作,请参见镜像安全扫描开通服务

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择防护配置 > 容器防护 > 镜像安全扫描
  3. 可选:单击立即授权
    首次使用镜像安全扫描功能需进行授权。
  4. 镜像安全扫描页面,单击立即扫描
    扫描预计需要1分钟时间,扫描完成后您需要手动刷新当前页面查看最新数据。
  5. 镜像漏洞风险镜像基线检查镜像恶意样本镜像敏感文件页签下查看扫描出的镜像漏洞或恶意样本。
    根据需要您可以执行以下操作:
    • 搜索指定漏洞、恶意样本或敏感文件

      在搜索框选择漏洞修复紧急度(高危、中危、低危)、恶意样本严重程度(紧急、可疑、提醒)或敏感文件风险程度(高危、中危、低危),输入实例ID、仓库名称、命名空间或摘要等,搜索指定漏洞、恶意样本或敏感文件。

    • 查看漏洞、恶意样本或敏感文件详情

      单击漏洞、恶意样本名称,查看漏洞或恶意样本详情。在漏洞或恶意样本详情页面,您可以查看漏洞详情(包括漏洞编号、影响分、漏洞公告)或恶意样本详情(包括处理紧急程度、恶意样本MD5、最新扫描时间和首次扫描时间),以及受影响镜像的列表信息。

      单击指定类型敏感文件操作列的详情,即可查看存在敏感文件的镜像列表。

    • 查看受影响镜像详情

      进入漏洞、恶意样本或敏感文件详情页面后,单击需查看的镜像操作列下的详情。查看该镜像扫描出的漏洞、恶意样本或恶意样本的详细信息。

执行云平台配置检查

云平台配置检查功能为您检查云产品安全配置中的安全风险。云安全中心支持手动立即检查和周期性自动检查云平台配置是否存在风险。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择风险管理 > 云平台配置检查
  3. 云平台配置检查页面,进行云平台配置检查。
    • 手动检查

      如果您想立即了解云产品配置是否存在安全风险,您可以在云平台配置检查页面,单击立即扫描,对云产品配置进行全量检查。

    • 自动检查

      您也可以设置自动检查,云安全中心会在您设置的时间执行云平台配置检查。

      1. 云平台配置检查页面右上角,单击检查设置
      2. 检查设置面板,配置云平台配置检查的检查周期检查时间以及选中要检查的安全风险检测项,单击确定
    说明
    • 默认检查周期为周一到周日随机的某一天,您可以按业务需要自行设置检查周期。
    • 对云产品配置进行全量检查需要一段时间,请耐心等待。

检查完成后,建议您及时关注并处理检测出的安全风险。具体操作,请参见云平台配置检查

配置防暴力破解规则

云安全中心提供防暴力破解功能,支持配置自定义暴力破解防御规则。配置防暴力破解规则后,登录服务器时,在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。防暴力破解功能,可有效防止您服务器账号的密码被暴力破解。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择防护配置 > 主机防护 > 主机规则管理
  3. 主机规则管理页面,单击防暴力破解页签。
  4. 如果您未进行过云资源访问授权,您需要单击立即授权,授权云安全中心访问您的云资源。
    关于授权的更多信息,请参见云安全中心服务关联角色
  5. 单击新建策略,在新建策略面板,配置防暴力破解策略。
    云安全中心提供默认防暴力破解策略:同一服务器10分钟内登录失败次数超过80次,禁止登录6小时。您可以选择对应服务器,直接使用默认防御策略。您也可以参考以下表格中的配置说明自定义防御策略。
    配置项说明
    策略名称设置防暴力破解策略名称。
    防御规则:设置防暴力破解策略的具体规则。即登录服务器时,在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。例如:1分钟内登录失败次数超过3次,禁止登录30分钟。
    设置为默认策略设置该防御策略是否为默认策略。设置为默认策略后,未添加防御规则的服务器将默认应用该策略。
    说明 选中设置为默认策略后,无论您是否在请选择对应的服务器:中选择了服务器,当前策略都会对所有未添加防御规则的服务器生效。
    请选择对应的服务器:设置防御策略生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称和IP筛选指定服务器。
  6. 单击确定
    重要 每台服务器仅支持配置一个防暴力破解策略。
    • 如果该策略中设置生效的服务器未配置其他防暴力破解策略,该防暴力破解策略添加成功。
    • 如果该策略中设置生效的服务器已配置了其他防暴力破解策略,且您确定要更换为当前配置的策略,请在确认防御规则变更页面,单击确认
    • 如果原防暴力破解策略的生效服务器配置了新防暴力破解策略,则原防暴力破解策略的生效服务器数量会相应减少。

配置网页防篡改

网页防篡改功能可实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改。使用网页防篡改功能需要您预先购买防篡改授权数。相关内容,请参见步骤一:购买防篡改授权数

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择防护配置 > 主机防护 > 网页防篡改
  3. 首次使用网页防篡改功能时,单击创建网页防篡改
    如果非首次使用,在网页防篡改页面的防护管理页签,单击为服务器添加防护
  4. 创建网页防篡改面板的服务器列表中,选中要开启网页防篡改防护的服务器,单击下一步
  5. 配置网页防篡改防护规则,单击开启防护
    • 白名单模式

      白名单模式下,防护目录下的已添加到防护规则中的防护文件类型被修改时,云安全中心会拦截或告警。

      配置项说明
      防护目录

      填写您要防御的服务器的目录。指定防御目录后,修改防御目录下的文件名称、内容或者文件属性时,云安全中心将根据进程白名单、防护模式,决定是否拦截。

      填写格式为:/目录名称/,例如:/tmp/

      防护文件类型选择或输入您要防护的文件类型。

      您可以在下拉列表选择要防护的文件类型,也可以在此处手动输入下拉列表中未列出的文件类型。

      防护模式
      • 拦截模式:云安全中心会主动拦截异常进程、异常文件变动,确保您服务器网站和文件的安全。
      • 告警模式:云安全中心会对识别到的异常进程、异常文件变动进行告警。
        重要 如果服务器操作系统和内核版本不在使用限制范围内,告警模式将不生效,防护模式选择告警模式,云安全中心依然会拦截异常进程。
      本地备份目录

      防护目录的默认备份存储路径。

      安全中心为您指定的默认备份目录为/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可手动修改默认的备份路径。

      配置示例

      例如:防护目录填写/tmp/防护文件类型选择XML、防护模式选择拦截模式,则表示当tmp目录下XML格式的文件被修改时,云安全中心将会拦截该操作。

    • 黑名单模式

      黑名单模式下,防护目录下已添加到防护规则的子目录、文件类型、指定文件被修改时,不会告警或拦截;未添加到防护规则的子目录、文件类型、指定文件被修改时,将会告警或拦截。

      配置项说明
      防护目录填写您要防御的服务器的目录。指定防御目录后,修改防御目录下的文件名称、内容或者文件属性时,云安全中心将根据进程白名单、防护模式,决定是否拦截。

      填写格式为:/目录名称/,例如:/tmp/

      排除子目录输入无需防护的子目录的路径。

      填写格式为:子目录名称/,例如:dir1/dir0/

      排除文件类型选择或填写不需要防护的文件类型。
      排除指定文件输入不需要防护的文件。

      填写格式为:子目录名称/文件,例如:dir2/file3

      防护模式
      • 拦截模式:云安全中心会主动拦截异常进程、异常文件变动,确保您服务器网站和文件的安全。
      • 告警模式:云安全中心会对识别到的异常进程、异常文件变动进行告警。
        重要 如果服务器操作系统和内核版本不在使用限制范围内,告警模式将不生效,防护模式选择告警模式,云安全中心依然会拦截异常进程。
      本地备份目录防护目录的默认备份存储路径。

      安全中心为您指定的默认备份目录为/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可手动修改默认的备份路径。

      重要 排除子目录排除文件类型排除指定文件之间为或的关系。

      配置示例

      例如:防护目录填写/tmp/排除子目录填写dir1/dir0/排除文件类型选择txt、排除指定文件填写dir2/file3防护模式选择拦截模式,则表示只有tmp目录下的dir1子目录下dir0子目录下的文件、txt(扩展名)类型的文件、或者dir2子目录下的file3文件可以被修改,tmp目录下的其他任何文件或者目录都无法被修改(修改操作将被云安全中心拦截)。

  6. 网页防篡改页面的防护管理页签下的服务器列表中,定位到刚创建网页防篡改防护的服务器,单击防护状态列的开关图标,为该服务器开启网页防篡改保护。
    首次开启防护时,目标主机的服务状态列将会显示为启动中,并显示启动进度条。请耐心等待数秒,启动成功后服务状态将会显示为正在运行
    以下为服务状态的说明:
    服务状态说明建议
    启动中网页防篡改防护服务正在开启。首次开启防护时,目标主机的服务状态将会显示为启动中。请耐心等待数秒。
    正在运行防护状态已成功开启,服务正常运行中。
    异常防护开启异常。将鼠标移动到目标服务器的服务状态上,查看发生异常的原因并单击重试
    未启动防护状态为未开启。需将防护状态设置为开启

配置防勒索

云安全中心针对勒索病毒提供防御、告警和数据备份的能力,可预防勒索病毒入侵您的核心服务器。使用防勒索功能需要您预先购买防勒索容量。具体操作,请参见防勒索开通服务

配置服务器防勒索策略

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择防护配置 > 主机防护 > 防勒索
  2. 防勒索页面的服务器防勒索页签下,单击创建防护策略
  3. 创建防护策略面板,配置防护策略,然后单击确定
    配置项说明
    策略名称设置防护策略的名称。
    服务器类型选择防护策略生效的服务器是否为阿里云服务器。
    选择资产支持选中单台资产、跨组选中多台资产或者选中资产分组。执行以下操作选择需要防护的资产:
    • 资产分组区域选择某一资产分组,系统将自动选择该分组下的所有资产。您可在右侧资产模块下,取消选中不需要的防护的资产。
    • 资产模块下输入资产名称(支持模糊查询),单击搜索框的搜索按钮后会为您展示相关资产,您可选中需要防护的资产。
    说明
    • 选择资产时,阿里云服务器支持单个策略内配置多个地域的服务器,非阿里云服务器仅支持单个策略中配置同一地域的服务器。
    • 为保证您的防护容量得到合理和有效地利用,每台服务器只支持添加到一条防护策略中。
    防护策略支持选择以下策略:
    • 推荐策略
      选择推荐策略后,默认选择以下配置:
      • 防护目录:全部目录(排除系统目录)
      • 是否排除系统目录:排除
      • 排除指定目录:显示排除目录的列表
      • 防护文件类型:全部文件类型
      • 数据备份开始时间:00:00~03:00的任意时刻
      • 备份策略执行间隔:1天
      • 备份数据保留时间:7天
      • 备份网络带宽限制:0 MByte/s
        说明 0 MByte/s代表不限制备份网络带宽。
      • VSS(Windows):是
        说明 该功能仅为Windows系统开启,开启后会有效降低因进程占用导致的个别文件备份失败的问题,建议开启。启用VSS后,将不支持exFAT和FAT32磁盘格式的文件备份。
    • 自定义策略

      选择自定义策略后,您需要自定义防护策略的防护目录、防护文件类型、数据备份开始时间、备份策略执行间隔、备份数据保留时间、备份网络带宽限制(MByte/s)等参数。

    防护目录选择需要进行备份的目录,支持选择以下类型:
    • 指定目录:即备份已选中资产的指定目录。您需要在防护目录地址新增需要备份的目录地址。配置示例:
      • Windows:C:\Program Files (x86)\
      • Linux:/usr/bin/
      最多可添加20条防护目录地址。
    • 全部目录:即备份已选中资产的全部目录。您需要在是否排除系统目录处选择不排除系统目录。
      说明 为防止出现系统冲突,选择全部目录后,建议您在设置是否排除系统目录时选择不排除
    是否排除系统目录选择备份或不备份的系统目录。当您排除下方的排除指定目录时,右侧文本框中会显示云安全中心默认支持不备份的所有系统目录,您可根据自己的业务需求进行删减。
    说明 Windows系统和Linux系统默认支持不备份的系统目录在持续更新中,具体以控制台排除指定目录右侧文本框中显示的系统目录为准。
    防护文件类型选择需要进行防护的文件类型,支持选择以下类型:
    • 全部文件类型:即针对所有类型的文件进行备份防护。
    • 指定文件类型:即针对指定文件进行备份防护。支持选择以下文件类型:
      • 文档类
      • 图片类
      • 压缩包类
      • 数据库类
      • 音频视频类
      • 脚本代码类
      重要
      • 仅在防护文件类型选择指定文件类型时需要配置该参数。
      • 支持同时选中多个文件类型。云安全中心仅防护您资产中此处选中类型的文件。
    数据备份开始时间设置数据备份开始时间。
    重要 防护策略创建后,初次进行数据备份时由于要全量备份防护目录下的数据,会消耗一定量的CPU和内存资源。为避免对您的业务造成影响,建议您选择业务量较小的时段进行数据备份。
    备份策略执行间隔设置备份策略执行间隔,默认为1天。支持选择以下时间:
    • 0.5天
    • 1天
    • 3天
    • 7天
    备份数据保留时间设置备份数据保留时间,默认为7天。
    重要 超过备份数据保留时间后,备份数据会自动清理,建议您根据业务需求合理设置备份数据保留时间。
    支持选择以下保存方式:
    • 永久保存
    • 自定义
      说明 自定义保存天数,最小可设置1天,最大支持设置65535天。
    备份网络带宽限制(MByte/s)受防勒索保护的备份数据占用的带宽流量阈值。可以设置的范围:1 MByte/s~不限流量。
    重要 ECS服务器仅占用内网带宽,不影响外网带宽。建议您根据服务器的带宽,设置合理的流量阈值,避免备份占用过多带宽对您业务产生影响。
    VSS(Windows)VSS功能可以用来维护文件变更历史记录、审核追踪日志以及恢复源代码文件。该功能仅为Windows系统的服务器开启。开启后能有效降低因进程占用导致的个别文件备份失败问题。可选项:
    • :开启该功能。
    • :关闭该功能。
    创建防护策略后,策略状态默认为开启状态。云安全中心将自动在您的服务器上安装防勒索客户端,并根据防护策略中设置的备份条件对生效服务器的防护目录进行数据备份。

配置数据库防勒索策略

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 防勒索页面的数据库防勒索页签,单击创建防护策略
  3. 数据库防护策略面板,为数据库创建防护策略。
    1. 配置您要防护的数据库的信息,然后单击下一步
      配置项说明
      策略名称设置防护策略的名称。
      类型选择添加数据库的方式。取值:
      • 自动识别数据库

        系统会自动识别出您服务器上已安装的数据库。建议您使用此功能快速选择您要防护的数据库。

      • 手动录入数据库

        如果使用自动识别数据库功能未能找到您要防护的数据库,您可以使用此功能,手动录入要防护的数据库。

      数据库选择您要防护的数据库或者数据库所在的服务器实例。
      数据库类型选择添加的数据库的类型。仅选择手动录入数据库时需要设置此项。取值:
      • MYSQL
      • ORACLE
      • MSSQL
      账号输入待添加的数据库账号,该账号必须有该数据库的备份权限。Oracle数据库无需输入账号和密码。
      重要 请输入已选择的数据库的账号和密码,而非服务器的账号和密码。
      密码输入数据库账号的密码。
    2. 配置数据库防护策略的信息,然后单击完成
      配置项说明
      防护策略您可单击使用推荐策略,直接使用云安全中心提供的推荐策略。如果推荐策略不符合您的业务需求,您可对推荐策略稍作修改,使其更符合您业务需求。
      全量备份策略配置全量备份的间隔周期周中执行日期备份开始时间

      全量备份指对某一时间点上数据库中的所有数据进行备份。全量备份所需的防勒索容量较多、备份的时间较长。建议您设置为一周一次。

      说明 全量备份策略和增量备份策略互不影响,会同时生效。
      增量备份策略配置增量备份的间隔周期备份开始时间

      增量备份是指在一次全备份或上一次增量备份后,备份与前一次相比增加或者有变化的数据。增量备份没有重复的备份数据,因此备份所需的防勒索容量较少,备份的时间较短。建议您设置为每天一次。

      备份数据保留时间选择备份保留的时间。
      备份网络带宽限制设置备份时的网络带宽。设置为0表示不限制带宽。
      数据库的勒索防护策略创建后,云安全中心将自动在您的服务器上安装防勒索客户端,此时该防护策略进入初始化中状态。客户端安装完成后,云安全中心将根据防护策略中设置的备份策略对数据库进行数据备份。

开启病毒查杀检查

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)
  2. 在左侧导航栏,选择防护配置 > 主机防护 > 病毒查杀
  3. 病毒查杀页面,立即扫描病毒或者设置周期性扫描病毒。
    • 立即扫描
      1. 病毒查杀页面,单击立即扫描
      2. 扫描设置面板,设置扫描模式和扫描范围。
        配置项说明
        扫描模式选择病毒扫描模式。
        • 快速扫描:该模式下,云安全中心会自动检测活动进程、启动项、敏感目录文件等安全风险。
        • 自定义目录扫描:该模式下,您可以自定义需要扫描的文件目录。

          输入需要扫描的文件目录,如果有多个文件目录需要换行输入。单次最大支持扫描30,000个文件,如果文件目录中的文件超过30,000个,超出部分的文件将无法扫描。

        扫描范围选择资产扫描的资产范围。您可以按照以下类型选择待扫描资产:
        • 按资产:选择待扫描的主机资产。
        • 按分组:选择资产分组,云安全中心将扫描该资产分组下的所有资产。如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。
        • 按VPC:选择VPC,云安全中心将扫描该VPC下的所有资产。如果选中的VPC新增了资产,新增资产将自动加入扫描范围。
      3. 单击确定

        云安全中心按照设定的扫描模式和扫描范围进行病毒扫描。扫描预计需要2~5分钟完成,请您耐心等待。

    • 设置周期性扫描
      1. 病毒查杀页面右上角,单击扫描设置
      2. 防御配置面板,设置扫描病毒的周期、扫描模式和扫描范围。
        配置项说明
        扫描周期设置自动扫描的时间间隔和扫描时间段。
        扫描模式选择病毒扫描模式。
        • 快速扫描:该模式下,云安全中心会自动检测活动进程、启动项、敏感目录文件等安全风险。
        • 自定义目录扫描:该模式下,您可以自定义需要扫描的文件目录。

          输入需要扫描的文件目录,如果有多个文件目录需要换行输入。单次最大支持扫描30,000个文件,如果文件目录中的文件超过30,000个,超出部分的文件将无法扫描。

        扫描范围选择资产扫描的资产范围。您可以按照以下类型选择待扫描资产:
        • 按资产:选择待扫描的主机资产。
        • 按分组:选择资产分组,云安全中心将扫描该资产分组下的所有资产。如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。
        • 按VPC:选择VPC,云安全中心将扫描该VPC下的所有资产。如果选中的VPC新增了资产,新增资产将自动加入扫描范围。
      3. 单击确定

        云安全中心会按照您的设置规则对要扫描的资产执行自动扫描病毒。