一、引言
我是一名运维开发工程师,平时会涉及到云资源的安全运维。一般在配置管理、身份验证、访问控制、数据保护、漏洞扫描、更新维护等场景下会关注安全问题。
安全体检是阿里云为用户提供的免费安全检测工具。安全体检服务调用云安全中心、配置审计中免费的安全检测能力,并汇总检测结果,涵盖病毒攻击、风险配置、服务器漏洞三方面。定期使用安全体检工具,可以帮助用户及时发现风险问题,提升用户云上安全水平。
二、体检结果
登录阿里云官网,进入安全管控控制台点击开启体检按钮。检测时间具体根据云上资产数量而定。
我顺利使用了安全体检功能,体检结果是如下,有7条安全风险。
云产品风险配置不通过项。
还可以查看不通过详情描述。
我发现自己的云上资产存在一下问题:
问题 1:RAM用户密码策略符合要求,这说明我的密码策略比较简单,这样账号有极大的安全风险。
问题 2:ECS实例禁止绑定公网地址,因为目前是单台ECS,需要使用公网IP进行访问,这个无法修改。
问题 3:安全组指定协议不允许对全部网段开启风险端口,当安全组入网网段设置为0.0.0.0/0时,指定协议的端口范围不包含指定风险端口,视为“合规”。应该是ECS开放了高危端口。
三、修复过程
针对体检问题 1,我通过RAM访问控制策略方式进行了修复,并通过重新体检的方式验证了修复结果。
针对体检问题 2,我认为无需修复,原因是单台ECS,需要使用公网IP进行访问。
针对体检问题 3,我通过了ECS使用成熟度评估与观察进行了修复。
把原来的3389端口删除了。
自行检测。
四、体检点评
通过这些检测项可以知道自己拥有的云产品那些地方存在安全风险。
1、有些检测是对自己有帮助的,比如安全组指定协议不允许对全部网段开启风险端口。可以根据业务端口按需开启。
2、有的可能对自己的帮助不大。比如本身就需要使用密码登录,需要绑定公网IP。
3、云资源安全是只支持ECS吗?其他实例是明确不支持吗?
4、已经处理完的风险问题,多久才能显示正常?有办法手动进行再次体检吗?
使用RAM管理员登录RAM控制台。在左侧导航栏,选择身份管理 > 用户。在用户页面,单击目标RAM用户名称。
在认证管理页签下的AccessKey区域,单击目标AccessKey操作列的禁用之后再删除。
在回收站中删除。
五、一点建议
1、针对检测项有问题的规则,自己可以设置忽略或者不处理,让其不出现在这个列表里。或者自己能调整风险等级,或者状态设置为通过。就是增加更多用户可以自定义的操作。
2、可以在查看详情里增加一键处理,比如这个自动快照策略,可以一键跳到需要ECS开启快照策略的地方。这些可能是针对一些简单的处置,若是太复杂的话可能不太好实现。
3、在描述中更详细更实用些,比如这里指定风险端口,应该列清楚都是哪些,比如当前账号下存在安全组开放了特定端口(即端口20、21、1433、1434、3306、3389、4333、5432、5500)的无限制访问,导致实例访问存在安全风险。这样更好一些。
六、总结
从体验的角度来看,阿里云安全体检不仅能够帮助用户快速定位问题所在,还提供了具体的修复指导和支持,极大地简化了安全管理流程。相比其他小型安全工具,安全体检具有更高的集成度和专业性,涵盖了从账号安全到资源配置等多个层面的安全检查项目,并且每个项目都有详尽的规则说明和风险评估机制。
安全体检比较适合中小企业和个人开发者用于日常的安全维护工作中。其核心价值在于提供了一站式的安全检测服务,使得用户无需依赖多个分散的安全产品即可获得较为全面的安全保障。
