开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:01-基础设施安全-4-云安全中心-ACA-02-产品接入与配置(上)】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18860
01-基础设施安全-4-云安全中心-ACA-02-产品接入与配置(上)
内容介绍
一、云安全中心产品接入
二、漏洞修复
三、基线检查
四、云平台的配置检查
一、云安全中心产品接入
云安全中心的产品接入以及相关的配置
首先来看云安全中心的产品接入,所谓的接入就是指要确保安全中心所保护的这些主机,agent软件是在线状态就可以,在云安全中心里产品的接入和部署分成两种模式,一是云上的模式,二是混合云专线部署的模式。
云上模式正常去使用,创建的ecs,然后选择安全加固按钮,就能确保云安全中心是即开即用,是不需要去进行任何的安装跟配置的,自动开通,自动的拉起来,混合云专线部署的方式,指的是在混合云模式中比如线下机房的主机跟公共云,阿里云上的ecs,彼此之间去形成混合云网络,通过云安全中心对这些主机进行统一管理的这样的场景,在混合云专线网络里面,需要去完成像BPC网络的创建与配置,然后混合型网络环境的配置,以及安全代理软件agent的安装这三个主要的步骤,这里的专线配置,其实只是线下的机房两种网络配置,通常来讲两种都可以一种是通过VPN接入一种是通过专线接入,两者的设计流程都是差不多的,比如说如果是通过VPN接入,是先在线下AC通过VPN去打通。
配置在的本地平台的网络连接来去实现,在去实现混合云可用网络然后配置编辑路由器来到云企业往CEN来这边去做对接,然后再接到云上的VPC这边来,这样就能够去实现云下到云上的整个混合云的网络配置,如果是专线,专用专线也能实现混合云阻挡,整个配置过程是比较像的,两者的区别就是VPN质量会相对一般一些,但是价格也便宜点,如果是专线,是独立的线路,网络线路比较好,费用高,无论是VPN还是专线只要网络能通的,基本上把主机上面的IDC主机上面的agent安装起来就可以了,网络通的情况下,在IDC底下去任意设备,去执行对应的命令,其实如果能通就说明可以正常工作
右边的图代表的是在阿里云的云安全中心控制台来去安装agent软件的示意图,列举的是线下IDC去安装,跟云上去安装agent的过程是有一些类似,但并不完全一样,因为如果是云上的资源是可以自动安装的,如果是线下的机器,或者是其云上的这种机器,只能通过手动安装的方式,手动安装的方式要注意几点。
首先是需要在云安全中心的设置页面去找到手动安装的页面入口。会提供对应的agent的安装程序,分不同的平台,比如说Windows Linux等等不同的平台或者在不同的云上,怎样去获取云安装,如果要安装起来,需要有安装码,也就是所谓的验证K,K是在云安全中心的控制台需要去找到的,K会有有效的时间,如果超出有效时间就要去进行重新获取,Windows是离线安窗包,下载到本地再去进行。跟安装程序去一步一步的输入。
如果是Linux平台,是在线安装的脚本在脚本后面,点SH的脚本后面嵌入的安装K,然后就可以自己去拉取对应的安装包去安装了,安装完了以后,会自动的把的agent整拉起来,拉起来以后,就相当于把的这台服务器,先纳入到了云安全中心的纳管提醒里。这样子在云安全中心的控制台就能够看到这台机器了
二、漏洞修复
漏洞修复,这是云安全中心支持的一种漏洞检测的功能,并且提供了一键修复整合能力。
图的左边主要图的部分,列举的是漏洞修复的在这前面可以查看服务器当前存在的一些漏洞风险,然后也可以来执行一键的扫描,让能够更全面的去了解资产的漏洞跟风险的情况,,从图里面可以看得出来,漏洞管理的功能,主要有三个典型的特点,是能够结合环境风险和资产的重要性来去评估的安全风险,同时漏洞是有一些标签的显示,以及全网修复的次数,就是也是表明了漏洞的流行程度,这也可以给提供参考,第二个部分是漏洞修复的时候是默认打快照的,并且漏洞需不需要进行重启,也会有进行提示,尽可能的来去减少对业务的影响。第三个漏洞修复也提供了像批量修复,批量验证。跟自动化批量修复的这样的功能,这是用来提升的运维效率的,所以可以看得出来,云安全中心提供的漏洞修复的还是很体贴,并且也是比较全面的,可以看到分成了大概五个种类。
Window的软件漏洞,Windows的软件漏洞以及web的漏洞,还有像应用的漏洞,应急的零费漏洞,产生的应急处理等等。所以,可以看到支持的漏洞的类型还是比较多的,如果是旗舰版本还会有容器进像漏洞,像这样的更多的形象出来,右上角漏洞管理的设置,这个是可以去进行开启或关闭,不同类型漏洞的一些自动检测的这些筛选项,这样就可以有针对性的去选择。以及去设置漏洞扫描的周期,扫描的方式,或者有一些漏洞已经过期了,已经失效了。加到白名单里面等等这些都可以通过漏洞的管理设置的。
三、基线检查
再来看检查功能,主要是去检测操作系统,还有里面的一些服务库,比如说像数据库,软件还有容器等等一些配置去进行安全检测,并且提供相关的结果说明和加固建议,所以基线检查,是系统安全加固的很重要的,这种表现形式,并且带来了最主要的效果就是可以去降低入侵风险,同时也能够去满足,等保2.0的三级和二级的合规审查,并且,可以说基线检查功能能够提供等保的自查能力,并且通过这检查的批量修复和结合EDF的系统快照,数据盘系统盘的快照,可以来完成整个基建修复的全闭环。
同时基线检查提供了非常丰富的基线检查项,比如说像入口令,可以去检查一下操作系统的,数据库的,比如说My cool,或者是go,甚至是某些应用等等一些入口令,然后以及一些高危的一些种漏洞,比如说像之前有提到过像DR,drinking之外的这种高危的漏洞是不是被利用了,还有一些所谓的安全相关的实践,阿里云上有的安全班级书里面有提供基于阿里云,会有一种最佳安全实践的标准。在基线检查这里,会根据标准去检查的这些主机资产里面。是不是存在着像账号的权限,是不是分配是可行的,或者是说的密码的策略,还有像的访问控制等等这块的配置,有没有相关的安全风险,这里面基于标准,会给出相应的这种风险的建议,以及很重要的一点,就是通过这些基线检查项,最终可以确保咱们云上的资产,如果这些项产全面都可行,可以去确保,是能够支持到二级,能确保等保二级或者三级,也可以去支持国际的CIS的标准。
四、云平台的配置检查
云平台的配置检查功能主要是检查云产品的一些安全配置是不是存在安全隐患,功能能够支持的有超过15款的产品,有四五十项的监测项所以功能还是非常的完备的,云平台的配置检查支持从六个维度去进行一些这种对于云产品的安全配置项目的检查。
图上能显示出来的还有图线网络的防控功能,还有一些基础的安全的防护,数据安全,日志,审计,身份认证与权限等等,这里应该有五项,还有像图像监控告警之类的,都是可以传到这里面来,所以利用云平台的配置检查,可以完成安全配置的闭环,并且可以自定义检查周期,所以功能也是非常的方便,可以通过功能及时的发现云产品的配置风险,并且也会提供相应的解决方案。
