01-基础设施安全-4-云安全中心-ACA-02-产品接入与配置(上)

本文涉及的产品
应用实时监控服务-可观测链路OpenTelemetry版,每月50GB免费额度
MSE Nacos/ZooKeeper 企业版试用,1600元额度,限量50份
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 01-基础设施安全-4-云安全中心-ACA-02-产品接入与配置(上)

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程01-基础设施安全-4-云安全中心-ACA-02-产品接入与配置(上)

课程地址:https://edu.aliyun.com/course/3111981/lesson/18860


01-基础设施安全-4-云安全中心-ACA-02-产品接入与配置(上)


内容介绍

一、云安全中心产品接入

二、漏洞修复

三、基线检查

四、云平台的配置检查

 

一、云安全中心产品接入

云安全中心的产品接入以及相关的配置

图片36.png首先来看云安全中心的产品接入所谓的接入就是指要确保安全中心所保护的这些主机,agent软件是在线状态就可以,在安全中心里产品的接入和部署分成两种模式,是云上的模式,是混合云专线部署的模式。


云上模式正常去使用,创建的ecs,然后选择安全加固按钮,就能确保云安全中心是即开即用,是不需要去进行任何的安装跟配置的自动开通,自动的拉起来,混合云专线部署的方式,指的是在混合云模式中比如线下机房的主机跟公共云阿里云上的ecs,彼此之间去形成混合云网络,通过云安全中心对这些主机进行统一管理的这样的场景,在混合云专线网络里面,需要去完成像BPC网络的创建与配置,然后混合型网络环境的配置,以及安全代理软件agent的安装这三个主要的步骤,这里的专线配置,其实只是线下的机房两种网络配置,通常来讲两种都可以一种是通过VPN接入一种是通过专线接入,两者的设计流程都是差不多的,比如说如果是通过VPN接入,是先在线下AC通过VPN去打通。


配置在的本地平台的网络连接来去实现,在去实现混合云可用网络然后配置编辑路由器来到云企业往CEN来这边去做对接,然后再接到云上的VPC这边来,这样就能够去实现云下到云上的整个混合云的网络配置如果是专线,专用专线也能实现混合云阻挡,整个配置过程是比较像的,两者的区别就是VPN质量会相对一般一些,但是价格也便宜点,如果是专线,是独立的线路网络线路比较好,费用高,无论是VPN还是专线只要网络能通的基本上把主机上面的IDC主机上面的agent安装起来就可以了,网络通的情况下,在IDC底下去任意设备,去执行对应的命令,其实如果能通就说明可以正常工作


右边的图代表的是在阿里云的云安全中心控制台来去安装agent软件的示意图,列举的是线下IDC去安装,跟云上去安装agent的过程是有一些类似,但并不完全一样,因为如果是云上的资源是可以自动安装的,如果是线下的机器,或者是其云上的这种机器,只能通过手动安装的方式,手动安装的方式要注意几点。


首先是需要在云安全中心的设置页面去找到手动安装的页面入口。会提供对应的agent的安装程序,分不同的平台,比如说Windows Linux等等不同的平台或者在不同的云上,怎样去获取云安装,如果要安装起来,需要有安装,也就是所谓的验证KK是在云安全中心的控制台需要去找到的,K会有有效的时间,如果超出有效时间就要去进行重新获取,Windows是离线安窗包,下载到本再去进行。跟安装程序去一步一步的输入


如果是Linux平台,是在线安装的脚本在脚本后面,点SH的脚本后面嵌入的安装K,然后就可以自己去拉取对应的安装包去安装了,安装完了以后,会自动的把的agent整拉起来,拉起来以后,就相当于把的这台服务器,先纳入到了安全中的纳管提醒。这样子在云安全中心的控制台就能够看到这台机器了

 

二、漏洞修复

漏洞修复,这是云安全中心支持的一种漏洞检测的功能,并且提供了一键修复整合能力

图片37.png

图的左边主要图的部分,列举的是漏洞修复的在这前面可以查看服务器当前存在的一些漏洞风险,然后也可以来执行一键的扫描,让能够更全面的去了解资产的漏洞跟风险的情况,,从图里面可以看得出来,漏洞管理的功能,主要三个典型的特点,是能够结合环境风险和资产的重要性来去评估的安全风险,同时漏洞是有一些标签显示,以及全网修复的次数,就是也是表明了漏洞的流行程度,这也可以给提供参考,第二个部分是漏洞修复的时候是默认打快照的,并且漏洞需不需要进行重启,也会有进行提示,尽可能的来去减少对业务的影响。第三个漏洞修复也提供了像批量修复,批量验证。跟自动化批量修复的这样的功能,这是用来提升的运维效率的,所以可以看得出来,云安全中心提供的漏洞修复的还是很体贴,并且也是比较全面的,可以看到分成了大概五个种类。


Window的软件漏洞,Windows的软件漏洞以及web的漏洞,还有像应用的漏洞,应急的零费漏洞,产生应急处理等等。所以,可以看到支持的漏洞的类型还是比较多的,如果是旗舰版本还会有容器进像漏洞,像这样的更多的形象出来,右上角漏洞管理的设置,这个是可以去进行开启或关闭,不同类型漏洞的一些自动检测的这些筛选项,这样就可以有针对性的去选择。以及去设置漏洞扫描的周期,扫描的方式,或者有一些漏洞已经过期了,已经失效了。加到白名单里面等等这些都可以通过漏洞的管理设置的。

 

三、基线检查

图片38.png

再来看检查功能,主要是去检测操作系统,还有里面的一些服务库,比如说像数据库,软件还有容器等等一些配置去进行安全检测,并且提供相关的结果说明和加固建议,所以基线检查,是系统安全加固的很重要的,这种表现形式,并且带来了最主要的效果就是可以去降低入侵风险同时也能够去满足,等保2.0的三级和二级的合规审查,并且,可以说基线检查功能能够提供等保的查能力,并且通过这检查的批量修复和结合EDF的系统快照,数据盘系统盘的快照可以来完成整个基建修复的全闭环。


同时线检查提供了非常丰富的基线检查项,比如说像入口令,可以去检查一下操作系统的数据库的,比如说My cool,或者是go,甚至是某些应用等等一些入口令,然后以及一些高危的一些种漏洞,比如说像之前有提到过像DR,drinking之外的这种高危的漏洞是不是被利用了还有一些所谓的安全相关实践阿里云上有的安全班级书里面有提供基于阿里云,会有一种最佳安全实践的标准。在基线检查这里,会根据标准去检查的这些主机资产里面。是不是存在着像账号的权限,是不是分配是可行的,或者是说的密码的策略,还有像的访问控制等等这块的配置,有没有相关的安全风险,这里面基于标准,会给出相应的这种风险的建议以及很重要的一点,就是通过这些基线检查项,最终可以确保咱们云上的资产,如果这些项面都可行,可以去确保,是能够支持到二级,能确保等保二级或者三级也可以去支持国际的CIS的标准。

 

四、云平台的配置检查

云平台的配置检查功能主要是检查云产品的一些安全配置是不是存在安全隐患,功能能够支持的有超过15款的产品,有四五十项的监测项所以功能还是非常的完备的,云平台的配置检查支持从六个维度去进行一些这种对于云产品的安全配置项目检查

图片39.png

图上能显示出来还有图线网络的防控功能,还有一些基础的安全的防护,数据安全日志,审计,身份认证与权限等等,这里应该有五项,还有像图像监控告警之类的,都是可以传到这里面来,所以利用云平台的配置检查,可以完成安全配置的闭环,并且可以自定义检查周期,所以功能也是非常的方便,可以通过功能及时的发现云产品的配置风险,并且也会提供相应的解决方案。

相关文章
|
存储 机器学习/深度学习 Python
NumPy 高级教程——存储和加载数据
NumPy 高级教程——存储和加载数据 【1月更文挑战第1篇】
427 3
NumPy 高级教程——存储和加载数据
|
弹性计算 中间件 大数据
什么是容器计算服务 ACS?
全球首款容器计算服务ACS(Alibaba Cloud Container Compute Service)
1032 2
|
11月前
|
存储 关系型数据库 MySQL
MySQL MVCC全面解读:掌握并发控制的核心机制
【10月更文挑战第15天】 在数据库管理系统中,MySQL的InnoDB存储引擎采用了一种称为MVCC(Multi-Version Concurrency Control,多版本并发控制)的技术来处理事务的并发访问。MVCC不仅提高了数据库的并发性能,还保证了事务的隔离性。本文将深入探讨MySQL中的MVCC机制,为你在面试中遇到的相关问题提供全面的解答。
845 2
|
8月前
|
机器学习/深度学习 计算机视觉
YOLOv11改进策略【Neck】| NeurIPS 2023 融合GOLD-YOLO颈部结构,强化小目标检测能力
YOLOv11改进策略【Neck】| NeurIPS 2023 融合GOLD-YOLO颈部结构,强化小目标检测能力
635 9
YOLOv11改进策略【Neck】| NeurIPS 2023 融合GOLD-YOLO颈部结构,强化小目标检测能力
|
10月前
|
消息中间件 关系型数据库 MySQL
ClickHouse如何整合数据源:MySQL、HDFS...
ClickHouse 是一个强大的列式数据库管理系统,支持多种数据源。常见的数据源包括外部数据源(如 HDFS、File、URL、Kafka 和 RabbitMQ)、数据库(如 MySQL 和 PostgreSQL)和流式数据(如 Stream 和 Materialized Views)。本文介绍了如何从 MySQL 和 HDFS 读取数据到 ClickHouse 中,包括创建数据库、映射表和查询数据的具体步骤。通过这些方法,用户可以方便地将不同来源的数据导入 ClickHouse 进行高效存储和分析。
582 3
|
Kubernetes Python 容器
[python]使用diagrams绘制架构图
[python]使用diagrams绘制架构图
379 3
|
自然语言处理 关系型数据库 MySQL
免费的CMS系统有哪些?
内容管理系统(Content Management System,简称CMS) 是一种用于创建、编辑、组织和发布内容的软件系统。它提供了一个用户友好的界面,使用户可以轻松管理网站的内容,而无需具备编程或技术知识。 下面给大家介绍几款目前国内比较常用,而且发展历史比较长的免费CMS系统:
605 1
|
11月前
|
存储 弹性计算 固态存储
阿里云服务器ESSD Entry系统盘测评IOPS、IO读写和时延性能参数
ESSD Entry云盘是阿里云推出的新一代云盘,具备高IOPS、低延迟和企业级数据保护能力。适用于开发与测试场景,支持按量付费和包年包月计费模式。99元和199元的ECS经济型e实例和通用算力型u1实例均采用ESSD Entry系统盘,性价比高。详细性能参数和价格请参考阿里云官方页面。
456 0
|
11月前
|
Java 开发者
Java 中的锁是什么意思,有哪些分类?
在Java多线程编程中,锁用于控制多个线程对共享资源的访问,确保数据一致性和正确性。本文探讨锁的概念、作用及分类,包括乐观锁与悲观锁、自旋锁与适应性自旋锁、公平锁与非公平锁、可重入锁和读写锁,同时提供使用锁时的注意事项,帮助开发者提高程序性能和稳定性。
464 3
|
缓存 JavaScript 前端开发
8种方法解决vue创建项目报错:command failed: npm install --loglevel error
该文章提供了八种解决Vue项目创建时遇到的`command failed: npm install --loglevel error`错误的方法,包括清理缓存、更换npm源、重新安装Node.js等措施。
8种方法解决vue创建项目报错:command failed: npm install --loglevel error