资产暴露分析功能可以对阿里云上的云资源(例如ECS、网关资产、系统组件、端口等)进行全面扫描和分析,识别出可能暴露在公网的安全风险和漏洞,帮助您及时发现和解决问题,提高云资源的安全性。本文介绍如何使用云安全中心资产暴露分析功能。
版本限制
仅云安全中心的企业版和旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心和升级与降配。
支持的资产类型
资产暴露分析功能支持统计阿里云服务器ECS、云数据库Redis、云数据库RDS和云数据库MongoDB在互联网上的暴露情况,不支持统计非阿里云产品在互联网上的暴露情况。
统计数据说明
资产暴露分析结果会每天自动刷新。云安全中心的资产暴露分析页面为您展示资产在互联网暴露情况的统计数据和详细信息列表。下表为统计数据的说明。
统计项 | 说明 |
暴露资产/公网IP数 | 暴露在互联网上的云服务器ECS、云数据库Redis、云数据库RDS和云数据库MongoDB总数量,以及公网IP总数量。 |
网关资产 | 暴露在互联网上的网关资产(负载均衡、NAT网关)总数量。单击相应数值打开网关资产面板,可查看网关资产的列表。在网关资产面板,单击网关资产名称可跳转至对应资产详情页面。 |
暴露端口 | 暴露在互联网上的端口总数量。单击相应数值打开暴露端口面板,可查看暴露端口的列表。在暴露端口面板,单击暴露端口名称查看存在该暴露端口的资产列表。 |
暴露组件 | 暴露在互联网上的您ECS服务器的系统组件(例如OpenSSL、OpenSSH)总数量。单击相应数值打开暴露组件面板,可查看暴露组件的列表。在暴露组件面板,单击暴露组件名称查看存在该暴露组件的资产列表。 |
可被利用漏洞 | 暴露在互联网上可被黑客利用的漏洞总数量,以及高危、中危、低危漏洞数量。单击漏洞总数量可查看存在漏洞的资产列表。不同类型的漏洞使用不同颜色表示:
|
弱口令 | 暴露在互联网上的ECS服务器以及数据库系统弱口令的总数量。单击相应数值,可查看存在弱口令的暴露资产列表。 |
前提条件
云服务器ECS客户端为在线状态,即主机资产页面该ECS客户端列显示图标。
一键扫描资产暴露任务
云安全中心每天自动执行一次扫描任务。
手动执行攻击路径扫描任务
在资产暴露分析页面,单击资产暴露扫描区域的一键扫描。
任务管理
云安全中心提供任务管理页面,默认记录7天内发起的自动和手动扫描任务记录。
在资产暴露分析页面,单击右上角的任务管理。
在任务管理页面,单击资产暴露页签。
您可以根据任务类型、任务状态(未开始、执行中、等待数据采集、数据采集中、完成、超时、终止或失败)或任务时间,查看任务ID、任务类型、任务时间、状态和进度百分比。
单击目标任务的详情,可查看本次扫描任务的暴露资产详情,包括暴露实例数、执行成功实例数、执行失败实例数以及资产实例列表。
支持根据状态和资产实例ID筛选查看特定资产的扫描结果。
查看资产暴露详情
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域中国。
在左侧导航栏,选择 。
在资产暴露分析页面,查看资产暴露信息。
查看资产暴露总览数据
在资产暴露分析页面上方总览区域,您可以查看资产暴露的总体情况,包括弱口令、可被利用漏洞等总览数据。单击下方数字,可查看对应数据的详情。
了解暴露资产列表
您可使用页面提供的搜索组件从有无漏洞、资产分组、端口等维度筛选查看资产暴露情况。
了解资产暴露详情
单击要查看的资产操作列的暴露详情,可在资产的暴露详情面板,查看资产暴露通信链路拓扑图、链路详情和风险详情。
在暴露详情面板的上方,单击资产下拉列表,筛选并查看目标资产的暴露详情。
查看风险详情:
在弱口令页签,查看检测出的弱口令详情。您可以单击检测出的弱口令风险名称,跳转到该资产的基线检查页签下,查看该资产上检测出的所有基线风险。
黑客可能会利用您资产上的弱口令进行非法登录,窃取服务器数据或破坏服务器,建议您及时修复弱口令风险。
在可被利用漏洞、全部漏洞页签下,单击漏洞链接,可跳转漏洞详情页面。您可以查看漏洞信息并根据漏洞修复建议手动修复相应漏洞。
建议您及时修复高危漏洞。
在风险配置页签下,单击云产品配置检查风险项,可跳转到云产品页面对应云产品的详情页面。您可以查看云产品配置页签的风险项详情并及时修复相应风险。
查看暴露链路:
如果您的ECS服务器或数据库资产可以通过多种方式访问互联网,通信链路拓扑图会为您展示多条访问互联网的路径。
例如您的ECS服务器可以通过NAT网关和负载均衡访问公网,通信链路拓扑图将为您展示访问互联网的两条通信链路。单击不同访问路径上的资产图标,可以切换到该路径,查看该路径详情。
说明资产暴露通信链路拓扑图颜色和资产中存在的漏洞的等级的对应关系如下:
红色:资产中存在弱口令风险或可被黑客通过互联网利用的高危漏洞。
橙色:资产中存在可被黑客通过互联网利用的中危漏洞。
灰色:资产中存在可被黑客通过互联网利用的低危漏洞。
绿色:资产中不存在弱口令风险或可被黑客通过互联网利用的漏洞。
以上拓扑图颜色和漏洞等级的对应关系仅对您的资产生效,不对网络链路图的其余部分(例如互联网)生效,互联网图标默认为灰色。
导出资产暴露数据
您可以单击暴露资产列表右上角图标,将暴露资产的详细信息统一导出并保存到本地。导出的文件为Excel格式。
相关文档
如果您需要减少ECS在互联网的暴露面,可选择使用下述解决方案。
如果您需要处理资产中检测出的漏洞,可参考下述文档处理。
如果您修复系统中的弱口令,可参考下述文档处理。