安全基線檢查
數(shù)據(jù)安全中心通過動態(tài)檢測數(shù)據(jù)資產(chǎn)配置的方式,以數(shù)據(jù)為落腳點檢測阿里云上數(shù)據(jù)庫資產(chǎn)是否存在配置風險,例如身份驗證、訪問控制、加密、備份和恢復等方面的配置是否安全,這些檢查策略和檢查項統(tǒng)稱為安全基線檢查。安全基線檢查功能可以幫助您持續(xù)監(jiān)控阿里云數(shù)據(jù)庫資產(chǎn)是否存在配置風險。本文介紹關(guān)于安全基線檢查功能您需要了解的信息,以及如何使用該功能。
前提條件
已開通數(shù)據(jù)安全中心免費版實例或購買數(shù)據(jù)安全中心付費版實例。數(shù)據(jù)安全中心免費版實例支持基線檢查的部分檢查項檢測,基礎(chǔ)版和企業(yè)版實例支持基線檢查全部功能。具體內(nèi)容,請參見數(shù)據(jù)安全中心免費版服務(wù)和購買數(shù)據(jù)安全中心。
已完成數(shù)據(jù)資產(chǎn)授權(quán)。具體操作,請參見資產(chǎn)授權(quán)。
了解安全基線檢查
數(shù)據(jù)安全中心以GB/T 37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》為依據(jù),提供個保法安全基線和阿里云數(shù)據(jù)安全最佳實踐基線的檢查,針對云上復雜的數(shù)據(jù)庫應(yīng)用環(huán)境和不同類型的數(shù)據(jù)(結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)),制定了7類基線檢查策略以及對應(yīng)的檢查項(具體的檢查項以數(shù)據(jù)安全中心頁面的策略管理頁簽顯示為準),并提供不同類型、不同等級風險的概覽圖和詳細列表,針對檢測出的配置風險提供了對應(yīng)的處置建議。建議您根據(jù)處置建議及時處理配置風險,強化數(shù)據(jù)資產(chǎn)基礎(chǔ)安全配置功能,以免為黑客提供被利用的弱點。
安全基線說明
個保法安全基線:基于個人信息保護相關(guān)法規(guī),提供覆蓋含有個人信息數(shù)據(jù)資產(chǎn)的全生命周期的安全風險檢測能力。
對經(jīng)過數(shù)據(jù)識別任務(wù)掃描出包含個人信息或個人敏感信息的數(shù)據(jù)庫實例和OSS Bucket進行基線檢查。
阿里云數(shù)據(jù)安全最佳實踐基線:基于阿里云數(shù)據(jù)安全最佳實踐形成的檢測基線,提供覆蓋數(shù)據(jù)資產(chǎn)全生命周期的安全風險檢測能力。
對已授權(quán)連接的數(shù)據(jù)庫實例和OSS Bucket均進行基線檢查。
支持的風險檢查策略
策略名稱 | 說明 |
日志監(jiān)控審計 | 數(shù)據(jù)處理的全生命周期應(yīng)具備記錄和監(jiān)控能力,確保數(shù)據(jù)處理過程可審計、可追溯。資產(chǎn)應(yīng)開啟日志審計或日志存儲等功能。 該策略檢測數(shù)據(jù)庫是否開啟了安全日志審計、日志存儲等功能。 |
身份權(quán)限管理 | 數(shù)據(jù)的訪問和使用應(yīng)基于最小權(quán)限原則,明確相關(guān)人員的訪問權(quán)限,防止非授權(quán)訪問。 該策略檢查數(shù)據(jù)庫權(quán)限管理是否合理,例如是否配置了普通賬號來進行日常的數(shù)據(jù)庫登錄等操作。 |
敏感數(shù)據(jù)保護 | 存儲有敏感數(shù)據(jù)的資產(chǎn)應(yīng)建立嚴格的訪問控制機制,避免數(shù)據(jù)泄露。 該策略可檢查數(shù)據(jù)庫是否存在公共讀寫等數(shù)據(jù)泄露風險,或?qū)γ舾袛?shù)據(jù)所在項目是否開啟了訪問控制。 說明 該策略僅對經(jīng)過數(shù)據(jù)識別任務(wù)掃描出包含個人信息或個人敏感信息的數(shù)據(jù)庫實例和OSS Bucket生效。 如果數(shù)據(jù)庫實例和OSS Bucket沒有進行數(shù)據(jù)識別掃描,或掃描結(jié)果不包含個人信息或個人敏感信息,該策略檢查項的檢查結(jié)果默認為通過。 |
訪問控制管理 | 數(shù)據(jù)的訪問和使用應(yīng)根據(jù)業(yè)務(wù)需要限制訪問來源,避免數(shù)據(jù)資產(chǎn)公開暴露。 該策略檢查數(shù)據(jù)庫是否存在公開暴露的情況。 |
數(shù)據(jù)備份恢復 | 應(yīng)建立定期的數(shù)據(jù)備份與恢復機制,實現(xiàn)對存儲數(shù)據(jù)的冗余管理,保護數(shù)據(jù)的可用性。 該策略檢查數(shù)據(jù)庫是否開啟了備份功能。 |
數(shù)據(jù)存儲安全 | 數(shù)據(jù)存儲應(yīng)采取加密等安全措施,保障數(shù)據(jù)的保密性和完整性。 該策略檢查數(shù)據(jù)庫是否開啟加密功能。 |
數(shù)據(jù)傳輸加密 | 數(shù)據(jù)傳輸活動應(yīng)采取加密等安全措施,保障數(shù)據(jù)傳輸過程的安全性。 該策略檢查數(shù)據(jù)庫在傳輸過程中是否開啟了加密傳輸。 |
支持的數(shù)據(jù)類型
安全基線檢查僅支持檢測已接入數(shù)據(jù)安全中心的阿里云數(shù)據(jù)庫的配置風險,具體支持的產(chǎn)品包括:
類別 | 數(shù)據(jù)庫類型 |
關(guān)系型數(shù)據(jù)庫 | RDS MySQL |
RDS SQL Server | |
RDS PostgreSQL | |
RDS MariaDB | |
OceanBase MySQL模式 | |
OceanBase Oracle模式 | |
PolarDB-X 1.0 | |
PolarDB MySQL引擎 | |
PolarDB PostgreSQL引擎 | |
PolarDB O引擎 | |
非關(guān)系型數(shù)據(jù)庫 | MongoDB |
Redis | |
大數(shù)據(jù) | TableStore |
MaxCompute | |
AnalyticDB MySQL版 | |
AnalyticDB PostgreSQL版 | |
非結(jié)構(gòu)化數(shù)據(jù)庫 | OSS |
設(shè)置檢查策略的檢查項狀態(tài)
數(shù)據(jù)安全中心 DSC(Data Security Center)默認開啟檢查策略的所有檢查項進行風險檢測,您可以根據(jù)實際業(yè)務(wù)需求,選擇關(guān)閉或開啟指定檢查項的檢測狀態(tài)。
- 登錄數(shù)據(jù)安全中心控制臺。
在左側(cè)導航欄,選擇。
在策略管理頁簽的阿里云數(shù)據(jù)安全最佳實踐基線或個保法安全基線頁簽,查看基線檢查策略。
在策略列表,打開或關(guān)閉檢查項狀態(tài)列的開關(guān),來控制是否開啟指定檢查項。
您也可以直接開啟或關(guān)閉指定的檢查策略,批量關(guān)閉檢查項的檢測。
執(zhí)行安全基線檢查
查看最新檢查時間
您可以在策略管理頁簽,單擊阿里云數(shù)據(jù)安全最佳實踐基線或個保法安全基線頁簽,查看對應(yīng)的最近檢測時間。
自動檢查
數(shù)據(jù)安全中心 DSC(Data Security Center)每天凌晨1點左右會默認為已接入的數(shù)據(jù)庫資產(chǎn)執(zhí)行一次安全基線檢查。
手動檢查
如果有新接入的資產(chǎn)或者數(shù)據(jù)庫配置有變更,需要對所有資產(chǎn)進行檢測時,您可以通過一鍵重新檢測功能,立即執(zhí)行檢測。重新檢測一般需要10分鐘左右。
在左側(cè)導航欄,選擇。
在風險趨勢頁面,單擊策略告警頁簽,在目標策略的操作列單擊詳情。
在風險態(tài)勢或資產(chǎn)清單頁簽,單擊一鍵重新檢測,從檢查項或資產(chǎn)實例維度,重新檢測資產(chǎn)風險。
查看業(yè)務(wù)資產(chǎn)風險趨勢
數(shù)據(jù)安全中心結(jié)合安全基線檢查、敏感數(shù)據(jù)識別結(jié)果,提供了數(shù)據(jù)資產(chǎn)分級安全態(tài)勢、個人隱私數(shù)據(jù)安全態(tài)勢、風險治理進度和敏感數(shù)據(jù)識別結(jié)果等統(tǒng)計圖表,方便您查看資產(chǎn)的安全態(tài)勢。
在左側(cè)導航欄,選擇。
在風險趨勢頁簽,單擊右側(cè)下拉框選擇安全基線類型。
在資產(chǎn)風險頁簽,查看以下信息,幫助您了解業(yè)務(wù)資產(chǎn)的風險態(tài)勢。
數(shù)據(jù)資產(chǎn)分級安全態(tài)勢
展示檢測范圍內(nèi)不同敏感等級資產(chǎn)中存在的高危、中危和低危風險的資產(chǎn)數(shù)量柱狀圖。
個人隱私數(shù)據(jù)安全態(tài)勢
展示檢測范圍內(nèi)存在個人敏感信息、個人信息和通用信息的資產(chǎn)中存在高危、中危和低危風險的資產(chǎn)數(shù)量柱狀圖。
風險治理進度
治理進度列下的數(shù)字,表示該資產(chǎn)已通過的檢查項數(shù)量和全部檢查項的數(shù)量。例如2/3表示該資產(chǎn)共涉及3個檢查項,其中已通過2個檢查項。治理進度列下有治理完成字樣時,表示該資產(chǎn)已通過所有相關(guān)檢查項的檢測。
風險級別表示該資產(chǎn)下未通過的檢查項的風險級別。如果一個未通過的檢查項存在多個風險級別,數(shù)據(jù)安全中心將只顯示最高的風險級別。
處理資產(chǎn)配置風險
數(shù)據(jù)安全中心 DSC(Data Security Center)提供了從不同角度查看和處理配置風險的入口。不同頁面和不同方式查看到的風險數(shù)據(jù)是一致的,您可以根據(jù)實際需要選擇合適的方式。
建議您及時處置檢測出的配置風險,避免不當配置造成數(shù)據(jù)泄露或其他不安全事件。
從資產(chǎn)角度
您需要查看資產(chǎn)的檢測結(jié)果時,可以在頁面的風險趨勢頁簽下的資產(chǎn)風險頁簽,查看支持檢測的數(shù)據(jù)庫資產(chǎn)列表,以及檢測結(jié)果的詳細列表和處置操作入口。
在左側(cè)導航欄,選擇。
在風險趨勢頁簽單擊資產(chǎn)風險頁簽,處理配置風險。
處置風險
數(shù)據(jù)安全中心僅提供處置風險的操作指引,您需要自行處置相應(yīng)風險。單擊目標數(shù)據(jù)資產(chǎn)實例操作列的處置,查看未通過的檢查項及處置方案。
在風險詳情區(qū)域,您可以單擊處置,前往對應(yīng)頁面處理風險。
為整個資產(chǎn)加白名單
如果安全工程師評估無需對某個數(shù)據(jù)庫資產(chǎn)進行安全基線檢查,您可以單擊目標數(shù)據(jù)庫實例操作列的加入白名單,將該資產(chǎn)下所有檢測項都加入白名單。加入白名單后,該資產(chǎn)的治理進度會更新為治理完成。
為某個數(shù)據(jù)資產(chǎn)實例的指定檢查項加白名單
如果安全工程師評估指定資產(chǎn)需要排除某一個檢查項,您可以單擊目標數(shù)據(jù)庫實例操作列的處置,在風險處置面板,單擊目標檢查項右側(cè)的加入白名單。加入白名單后,該檢查項狀態(tài)將變更為已加白。
從策略角度
您需要查看不同策略的檢查結(jié)果時,可以在頁面的風險趨勢頁簽下的策略告警頁簽,查看不同策略的列表,在指定策略的詳情頁面,查看該策略下支持的檢查項列表及關(guān)聯(lián)的資產(chǎn)清單。
在左側(cè)導航欄,選擇。
在風險趨勢頁簽,單擊策略告警頁簽,查看策略列表。
告警數(shù)量表示存在未通過檢查項的資產(chǎn)數(shù)量。
關(guān)聯(lián)資產(chǎn)表示檢查項檢查的資產(chǎn)總數(shù)。每個檢查項對應(yīng)一個資產(chǎn)算作一項。
單擊目標策略操作列的詳情。
在詳情頁面查看風險態(tài)勢和資產(chǎn)清單。
風險態(tài)勢頁簽展示了該策略下所有的檢查項及其詳細信息,包括檢查項內(nèi)存在風險的資產(chǎn)數(shù)量、檢查關(guān)聯(lián)的資產(chǎn)數(shù)量和檢查項狀態(tài)。如需重新檢測該檢查項,您可以單擊操作列的檢測。
資產(chǎn)清單頁簽展示了該策略下所有檢查項涉及的資產(chǎn)。您可以為相關(guān)資產(chǎn)針對指定的檢查項重新檢測、加白或取消加白,也可單擊處置,前往對應(yīng)控制臺處置當前風險項。
從檢查項角度
您需要查看指定檢查項檢測出的風險時,可以在頁面的策略管理頁簽,執(zhí)行以下操作查看檢查項的詳細信息。
在策略列表中,單擊目標策略名稱前的展開
圖標,查看該策略下支持的檢查項。單擊目標檢查項操作列的詳情或白名單配置,前往詳情頁面,查看該檢查項關(guān)聯(lián)的資產(chǎn)并進行相應(yīng)的處置。
支持進行以下操作:
如果確認對于當前資產(chǎn)該檢查項的檢查結(jié)果可以忽略,您可以單擊目標資產(chǎn)操作列的加入白名單,將該資產(chǎn)加入該檢查項的白名單。
單擊目標資產(chǎn)操作列的處置,前往對應(yīng)控制臺處置當前風險項。
處置完成后,您可以單擊目標資產(chǎn)操作列的驗證,驗證處置是否已成功。