风险模块集全面风险感知、快速响应处置、完善运营管理能力于一体,主要集成展示多云资产的漏洞风险、云配置风险、基线风险等,综合资产的风险事件等级和处理状态等属性,为您提供风险事件数据趋势和详情,以帮助您更快修复和解决资产中的风险问题。
风险模块当前分为攻击链分析、漏洞风险和云平台配置风险三个类别,说明如下。
基于检测到的风险,分析资产潜在的被攻击方式和链路,并区分不同的优先级,帮助您高效处理资产风险。其中包括三种规则类型:
下面以“公网暴露的VM/容器有高可利用漏洞,且可以横向移动到核心资产”这一攻击链规则为例,说明其适用范围和风险判断逻辑。
漏洞是指操作系统或安全策略上的缺陷,如逻辑设计或编写软件时出现的错误。攻击者能够利用这些缺陷或错误,未经授权地访问和窃取系统数据或破坏系统。
多云安全平台提供的关于云产品的配置项检查服务。如”应开启AccessKey泄露检查“,开启 Access Key 泄露检查是为了防止 Access Key 被非法获取或滥用。Access Key是用户访问云资源的密钥,其安全性直接关联到云账号和云资源的安全。若关联资产未开启该配置,多云安全平台会将风险展示在云配置风险列表中,并提供详细的安全建议。
以下按风险类型展示风险事件的名称、涉及的资产类型、风险等级等信息。由于风险检查项持续更新,下表仅展示部分风险事件供您参考,具体请以控制台实际显示为准。
说明
风险权重是指该风险占所有风险事件的加权比重,安全态势扣分计算公式为:(风险权重/风险权重加和总分)100(风险资产数量/全部资产数量)。
例如:某风险事件权重为 5,总风险事件加权为 25,风险资产数量为 2,全部资产数量为 5。则该风险事件扣分为:5/252/5100=8 分。
风险名称 | 资产类型 | 风险分类 | 等级 | 风险权重 |
|---|---|---|---|---|
虚拟机应开启云安全中心客户端防护 | 虚拟机 | 负载 | 高危 | 5 |
应开启微服务健康度检查 | 注册配置中心 | 负载 | 中危 | 3 |
微服务应开启WAF防火墙防护功能 | 注册配置中心 | 负载 | 中危 | 3 |
应启用SLB健康检查 | 负载均衡 | 网络 | 低危 | 1 |
应开启存储桶日志功能 | 存储桶 | 存储 | 中危 | 3 |
应开启Mysql的SQL洞察/审计功能 | MySQL | 数据库 | 低危 | 1 |
应开启veDB Mysql的SQL洞察/审计功能 | veDB MySQL | 数据库 | 低危 | 1 |
应开启MongoDB日志审计 | MongDB | 数据库 | 中危 | 3 |
应启用虚拟机安全审计功能 | 虚拟机 | 负载 | 低危 | 1 |
应启用虚拟机日志守护进程(audit)(linux) | 虚拟机 | 负载 | 低危 | 1 |
应开启RDS的SQL洞察/审计功能 | 数据库存储 | 数据库 | 低危 | 1 |
应开通云安全中心/主机安全 | 主机防护 | 安全 | 中危 | 3 |
应接入云安全中心高级版本 | 主机防护 | 安全 | 中危 | 3 |
应开启多云安全平台基础版或以上版本 | 多云安全平台 | 安全 | 中危 | 3 |
主题 | 资产类型 | 风险分类 | 等级 | 风险权重 |
|---|---|---|---|---|
应启用虚拟机系统密码复杂性检查 | 虚拟机 | 负载 | 低危 | 1 |
主题 | 资产类型 | 风险分类 | 等级 | 风险权重 |
|---|---|---|---|---|
应开启虚拟机自动快照策略 | 虚拟机 | 负载 | 中危 | 3 |
微服务应开通鉴权 | 注册配置中心 | 负载 | 中危 | 3 |
微服务应选择VPC专有网络类型 | 注册配置中心 | 负载 | 低危 | 1 |
应禁止容器的 Api Server 绑定弹性公网 EIP | 容器服务 | 负载 | 高危 | 5 |
容器应使用最新版本的组件 | 容器服务 | 负载 | 中危 | 3 |
容器应开启集群删除保护 | 容器服务 | 负载 | 低危 | 1 |
应以白名单的方式使用安全组 | 安全组 | 网络 | 高危 | 5 |
应尽量保持单个安全组内规则的简洁 | 安全组 | 网络 | 低危 | 1 |
应启用SLB证书过期检查 | 负载均衡 | 网络 | 中危 | 3 |
应启用SLB访问日志 | 负载均衡 | 网络 | 中危 | 3 |
SLB建议开启HTTPS服务 | 负载均衡 | 网络 | 中危 | 3 |
API网关应启用HTTPS | API 网关 | 网络 | 中危 | 3 |
API网关应启用API日志并配置告警 | API 网关 | 网络 | 中危 | 3 |
应启用基于桶的同区域复制 | 存储桶 | 存储 | 低危 | 1 |
应启用基于桶的跨区域复制 | 存储桶 | 存储 | 低危 | 1 |
建议开启存储桶服务端加密 | 存储桶 | 存储 | 中危 | 3 |
建议存储桶使用用户托管密钥 | 存储桶 | 存储 | 中危 | 3 |
建议开启存储桶多 AZ 冗余 | 存储桶 | 存储 | 低危 | 1 |
建议开启存储桶版本控制能力 | 存储桶 | 存储 | 中危 | 3 |
应开启Mysql备份设置 | MySQL | 数据库 | 中危 | 3 |
应开启Mysql跨地域备份 | MySQL | 数据库 | 低危 | 1 |
应开启Mysql TDE 加密 | MySQL | 数据库 | 中危 | 3 |
应开启veDB Mysql跨地域备份 | veDB MySQL | 数据库 | 中危 | 3 |
应开启PostgreSQL备份设置 | PostgreSQL | 数据库 | 中危 | 3 |
应限制SQLServer高权限用户数量 | 云数据库 SQL Server | 数据库 | 高危 | 5 |
应开启SQLServer的备份设置 | 云数据库 SQL Server | 数据库 | 中危 | 3 |
禁用Redis的高风险命令 | Redis | 数据库 | 高危 | 5 |
应开启Redis的SSL加密功能 | Redis | 数据库 | 中危 | 3 |
应开启Redis的备份设置 | Redis | 数据库 | 中危 | 3 |
应关闭Redis的公网地址 | Redis | 数据库 | 高危 | 5 |
应开启Redis审计日志配置 | Redis | 数据库 | 低危 | 1 |
应开启MongoDB备份设置 | MongDB | 数据库 | 中危 | 3 |
应开启MongoDBTDE加密配置 | MongDB | 数据库 | 中危 | 3 |
应开启MongoDB的SSL加密功能 | MongDB | 数据库 | 中危 | 3 |
应在虚拟机上安装 Endpoint Protection | 虚拟机 | 负载 | 高危 | 5 |
虚拟机应具备防暴力破解解决方案 | 虚拟机 | 负载 | 中危 | 3 |
应开启RDS数据库备份 | 数据库存储 | 数据库 | 中危 | 3 |
应开启RDS跨地域备份 | 数据库存储 | 数据库 | 低危 | 1 |
应开启RDS TDE 加密 | 数据库存储 | 数据库 | 低危 | 1 |
应启用RDS的SSL加密功能 | 数据库存储 | 数据库 | 中危 | 3 |
应开启RDS的Mysql参数配置 | 数据库存储 | 数据库 | 低危 | 1 |
应开启RDS实例释放保护配置 | 数据库存储 | 数据库 | 低危 | 1 |
应开启RDS端口配置 | 数据库存储 | 数据库 | 低危 | 1 |
应开启对外网站域名的 Web 应用防火墙 WAF 防护 | Web 应用防火墙 | 安全 | 中危 | 3 |
应开启WAF的CC安全防护状态 | Web 应用防火墙 | 安全 | 中危 | 3 |
应在防火墙中开启互联网边界防火墙 | 防火墙 | 安全 | 高危 | 5 |
应在防火墙中增加默认拒绝策略 | 防火墙 | 安全 | 高危 | 5 |
域名应关联DDOS实例 | DDos 防护 | 安全 | 低危 | 1 |
应安装云安全中心代理 | 主机防护 | 安全 | 高危 | 5 |
应开启双因子验证 | 堡垒机 | 安全 | 中危 | 3 |
应开启密钥自动轮转 | 密钥管理系统 | 安全 | 高危 | 5 |
主题 | 资产类型 | 风险分类 | 等级 | 风险权重 |
|---|---|---|---|---|
应开启 AccessKey 泄露检查 | 账号 | 身份和权限控制 | 高危 | 5 |
用户最多只启用一个 AccessKey | 账号 | 身份和权限控制 | 中危 | 3 |
应清理云账号的闲置子AccessKey | 账号 | 身份和权限控制 | 高危 | 5 |
应清理云账号的闲置用户 | 账号 | 身份和权限控制 | 中危 | 3 |
应定期轮换云账号的AccessKey | 账号 | 身份和权限控制 | 中危 | 3 |
应要求虚拟机的系统密码具备使用期限策略 | 虚拟机 | 负载 | 中危 | 2 |
应限制虚拟机重复使用近期使用过的密码 | 虚拟机 | 负载 | 低危 | 1 |
应启用虚拟机的系统空闲会话断开时间 | 虚拟机 | 负载 | 低危 | 1 |
应启用虚拟机密码到期前提醒功能(win) | 虚拟机 | 负载 | 低危 | 1 |
应限制虚拟机未登录强制关机(win) | 虚拟机 | 负载 | 低危 | 1 |
应确保虚拟机的SSH LogLevel设置为INFO(linux) | 虚拟机 | 负载 | 低危 | 1 |
应清理待删除状态的密钥 | 密钥管理系统 | 安全 | 低危 | 1 |
主题 | 资产类型 | 风险分类 | 等级 | 风险权重 |
|---|---|---|---|---|
应设置云账号密码复杂度规则 | 账号 | 身份和权限控制 | 高危 | 5 |
应限制云账号密码重试错误次数 | 账号 | 身份和权限控制 | 高危 | 5 |
应限制云账号密码重复使用次数 | 账号 | 身份和权限控制 | 高危 | 5 |
应设置云账号密码有效期 | 账号 | 身份和权限控制 | 高危 | 5 |
高权限云账号不建议启用 API 密钥 | 账号 | 身份和权限控制 | 高危 | 5 |
子账号启用多因素认证(MFA) | 账号 | 身份和权限控制 | 高危 | 5 |
应启用RAM用户进行分权管理 | 账号 | 身份和权限控制 | 高危 | 5 |
应将云账号的人员和程序用户分离 | 账号 | 身份和权限控制 | 中危 | 3 |
应限制云账号权限策略访问IP | 账号 | 身份和权限控制 | 低危 | 1 |
应启用IAM账号过度授权清理 | 账号 | 身份和权限控制 | 中危 | 3 |
IAM 策略不应允许完全的 “*” 管理权限 | 账号 | 身份和权限控制 | 高危 | 5 |
应开启虚拟机未挂载磁盘的云盘加密 | 虚拟机 | 负载 | 低危 | 1 |
应限制镜像仓库白名单对公网开放 | 镜像仓库 | 负载 | 高危 | 5 |
应限制微服务白名单对公网开放 | 注册配置中心 | 负载 | 高危 | 5 |
应设置镜像仓库权限为私有 | 镜像仓库 | 负载 | 中危 | 3 |
虚拟机应使用SSH密钥对登录 | 虚拟机 | 负载 | 高危 | 5 |
应避免安全组全网开放非必要服务 | 安全组 | 网络 | 高危 | 5 |
应通过SLB提供的黑白名单做访问控制 | 负载均衡 | 网络 | 高危 | 5 |
应限制SLB将高风险端口转发至公网 | 负载均衡 | 网络 | 高危 | 5 |
应限制API网关直接对公网所有地址开放 | API 网关 | 网络 | 高危 | 5 |
DNat建议使用端口映射 | NAT 网关 | 网络 | 低危 | 1 |
NAT应遵循最小情况开放端口 | NAT 网关 | 网络 | 高危 | 5 |
应启用Mysql普通账号 | MySQL | 数据库 | 高危 | 5 |
存储桶应关闭公网访问 | 存储桶 | 存储 | 高危 | 5 |
存储桶应禁止设置公共访问权限 | 存储桶 | 存储 | 高危 | 5 |
通过权限管理工具最小化权限访问存储桶 | 存储桶 | 存储 | 高危 | 5 |
存储桶自定义域名应启用HTTPS访问 | 存储桶 | 存储 | 中危 | 3 |
应限制Mysql的DDL用户权限 | MySQL | 数据库 | 中危 | 3 |
应关闭Mysql公网地址 | MySQL | 数据库 | 高危 | 5 |
应启用veDB Mysql普通账号 | veDB MySQL | 数据库 | 高危 | 5 |
应限制veDB Mysql的DDL用户权限 | veDB MySQL | 数据库 | 中危 | 3 |
应关闭veDB Mysql公网地址 | veDB MySQL | 数据库 | 高危 | 5 |
应关闭PostgreSQL公网地址 | PostgreSQL | 数据库 | 高危 | 5 |
应启用postgreSQL普通账号 | PostgreSQL | 数据库 | 高危 | 5 |
应限制PostgreSQL的DDL用户权限 | PostgreSQL | 数据库 | 中危 | 3 |
应限制SQLServer白名单对公网开放 | 云数据库 SQL Server | 数据库 | 高危 | 5 |
应关闭SQLServer公网地址 | 云数据库 SQL Server | 数据库 | 高危 | 5 |
应关闭Hbase公网地址 | HBase | 数据库 | 高危 | 5 |
应限制Hbase白名单对公网开放 | HBase | 数据库 | 高危 | 5 |
应启用Redis普通账号 | Redis | 数据库 | 高危 | 5 |
应关闭Redis数据库免密访问 | Redis | 数据库 | 高危 | 5 |
应开启RedisVPC免密模式应用白名单 | Redis | 数据库 | 高危 | 5 |
应启用MongoDB普通账号 | MongDB | 数据库 | 高危 | 5 |
应关闭MongoDB公网访问地址 | MongDB | 数据库 | 高危 | 5 |
应关闭MongoDB免密访问 | MongDB | 数据库 | 高危 | 5 |
应限制MongoDB白名单对公网开放 | MongDB | 数据库 | 高危 | 5 |
应限制PostgreSQL白名单对公网开放 | PostgreSQL | 数据库 | 高危 | 5 |
应限制MySQL白名单对公网开放 | MySQL | 数据库 | 高危 | 5 |
应限制Redis白名单对公网开放 | Redis | 数据库 | 高危 | 5 |
应启用云账号登录二次身份验证 | 账号 | 身份和权限控制 | 低危 | 1 |
应启用云账号敏感操作二次身份验证 | 账号 | 身份和权限控制 | 低危 | 2 |
应限制RDS普通权限账号 | 数据库存储 | 数据库 | 高危 | 5 |
应限制RDS白名单对公网开放 | 数据库存储 | 数据库 | 高危 | 5 |
应关闭RDS公网地址 | 数据库存储 | 数据库 | 高危 | 5 |
应为源站虚拟机服务器配置访问控制策略 | DDos 防护 | 安全 | 低危 | 1 |
应为源站负载均衡SLB配置访问控制策略 | DDos 防护 | 安全 | 低危 | 1 |
白名单不应对公网开放 | 堡垒机 | 安全 | 高危 | 5 |
主题 | 资产类型 | 风险分类 | 等级 | 风险权重 |
|---|---|---|---|---|
应依据“最小服务”原则设定配置网络ACL规则 | ACL | 网络 | 中危 | 4 |
应限制虚拟机关联的网络安全组上任意IP访问远程运维端口 | 虚拟机 | 负载 | 高危 | 5 |
应启用负载均衡访问控制检查 | 负载均衡 | 网络 | 中危 | 2 |
应依据“最小服务”原则设定负载均衡转发策略 | 负载均衡 | 网络 | 高危 | 4 |
应要求虚拟机的系统限制未授权用户对配置文件的操作 | 虚拟机 | 负载 | 高危 | 4 |
应启用虚拟机账户登录失败锁定策略 | 虚拟机 | 负载 | 低危 | 1 |
应启用虚拟机匿名账户访问控制(win) | 虚拟机 | 负载 | 低危 | 1 |
应检查虚拟机的空密码账户(linux) | 虚拟机 | 负载 | 高危 | 5 |
应启用虚拟机空密码账户登录限制 | 虚拟机 | 负载 | 低危 | 1 |
虚拟机应禁止非root用户UID为0(linux) | 虚拟机 | 负载 | 低危 | 1 |
虚拟机应限制用户之间重用密码的行为(linux) | 虚拟机 | 负载 | 低危 | 1 |
应开启虚拟机地址随机化(ASLR)(linux) | 虚拟机 | 负载 | 低危 | 1 |
应设置虚拟机用户访问配置文件的权限(linux) | 虚拟机 | 负载 | 低危 | 1 |
主题 | 资产类型 | 风险分类 | 等级 | 风险权重 |
|---|---|---|---|---|
容器应接入集群托管 | 容器服务 | 负载 | 低危 | 1 |