数据安全中心通过动态检测数据资产配置的方式,以数据为落脚点检测阿里云上数据库资产是否存在配置风险,例如身份验证、访问控制、加密、备份和恢复等方面的配置是否安全,这些检查策略和检查项统称为安全基线检查。安全基线检查功能可以帮您持续监控阿里云数据库资产是否存在配置风险。本文介绍关于安全基线检查功能您需要了解的信息,以及如何使用该功能。
前提条件
了解安全基线检查
数据安全中心以GB/T 37988-2019《信息安全技术数据安全能力成熟度模型》为依据,针对云上复杂的数据库应用环境和不同类型的数据(结构化数据和非结构化数据),制定了7类基线检查策略以及40+具体的检查项,并提供不同类型、不同等级风险的概览图和详细列表,针对检测出的配置风险提供了对应的处置建议。建议您根据处置建议及时处理配置风险,强化数据资产基础安全配置功能,避免为黑客提供被利用的弱点。
支持的风险检查策略如下所示。
策略名称 | 说明 |
日志监控审计 | 数据处理的全生命周期应具备记录和监控能力,确保数据处理过程可审计、可追溯。资产应开启日志审计或日志存储等功能。 该策略检测数据库是否开启了安全日志审计、日志存储等功能。 |
身份权限管理 | 数据的访问和使用应基于最小权限原则,明确相关人员的访问权限,防止非授权访问。 该策略检查数据库权限管理是否合理,例如是否配置了普通账号来进行日常的数据库登录等操作。 |
敏感数据保护 | 存储有敏感数据的资产应建立严格的访问控制机制,避免数据泄漏。 该策略可检查数据库是否存在公共读写等数据泄露风险,或对敏感数据所在项目是否开启了访问控制。 |
访问控制管理 | 数据的访问和使用应根据业务需要限制访问来源,避免数据资产公开暴露。 该策略检查数据库是否存在公开暴露的情况。 |
数据备份恢复 | 应建立定期的数据备份与恢复机制,实现对存储数据的冗余管理,保护数据的可用性。 该策略检查数据库是否开启了备份功能。 |
数据存储安全 | 数据存储应采取加密等安全措施,保障数据的保密性和完整性。 该策略检查数据库是否开启加密功能。 |
数据传输加密 | 数据传输活动应采取加密等安全措施,保障数据传输过程的安全性。 该策略检查数据库在传输过程中是否开启了加密传输。 |
安全基线检查仅支持检测已接入数据安全中心的阿里云数据库的配置风险,具体支持的产品包括:
RDS
OSS
MaxCompute
PolarDB
PolarDB-X 1.0
ADB-MySQL
MongoDB
Redis
数据安全中心支持开启或关闭指定检查项,您可以在数据安全中心控制台的页面,打开或关闭检查项状态列的开关,来控制是否开启指定检查项。也支持开启或关闭指定的策略。
执行检查
数据安全中心每天凌晨1点左右会默认为已接入的数据库资产执行一次安全基线检查,您可以在页面,查看最近检测时间。
如果有新接入的资产或者数据库配置有变更,需要对所有资产进行检测时,您可以单击重新检测,立即执行检测。重新检测一般需要10分钟左右。
如果只需对单个资产或单个检查项重新执行检查,您可以在风险详情或安全基线页面,进入资产的处置页面,单击一键重新检测或验证,重新执行检测。
了解业务资产风险态势
在页面,数据安全中心结合安全基线检查、敏感数据识别结果提供了风险治理进度、敏感数据分级安全态势和个人隐私数据安全态势等统计图表,方便您查看资产的安全态势。下文是相关报表您需要了解的补充信息。
风险治理进度
资产覆盖32/40(数字仅做示例),32是指检测出存在风险的资产数量,40是指支持检测的所有资产数量。安全基线功能仅支持检测RDS、OSS、MaxCompute、PolarDB、PolarDB-X 1.0、ADB-MySQL、MongoDB和Redis中已授权且状态为运行中的资产。
高中低右侧的数字,分别表示存在高危、中危和低危风险的资产数量。如果一个资产中检测出多个风险等级,仅将最高等级风险计入统计数据。
治理进度表示已通过的检查项个数和总检查项个数。例如,已通过172/253(数字仅做示例),具体含义为:已通过的检查项个数/总检查项个数,每个检查项检测一个资产算作一个,不参与检查的资产不计数。
风险类型TOP 5
展示检测出风险资产最多的5种策略类型。如需查看所有策略的扫描结果,您可以单击查看更多。
数据资产分级安全态势
展示检测范围内不同敏感等级资产中存在的高危、中危和低危风险的资产数量柱状图。
个人隐私数据安全态势
展示检测范围内存在个人敏感信息、个人信息和通用信息的资产中存在高危、中危和低危风险的资产数量柱状图。
风险合规趋势
展示最近30天或7天已通过或未通过的检查项个数,每个检查项对应一个资产算作一个。您可以在筛选框的下拉列表中选择策略类型分布,查看具体类型下的通过率,例如数据安全、数据存储。
处置资产配置风险
数据安全中心提供了从不同角度查看和处理配置风险的入口。不同页面和不同方式查看到的风险数据是一致的,您可以根据实际需要选择合适的方式。
建议您及时处置检测出的配置风险,避免不当配置造成数据泄露或其他不安全事件。
从资产角度
需要查看资产的检测结果时,您可以在页签,查看支持检测的数据库资产列表,以及检测结果的详细列表和处置操作入口。
登录数据安全中心控制台。
在左侧导航栏,选择。
在资产风险页签,查看支持安全基线检测的数据库实例列表,治理进度以及实例的敏感等级等信息。
治理进度列下的数字,表示该资产已通过的检查项数量和全部检查项的数量。例如2/3表示该资产共涉及3个检查项,其中已通过2个检查项。治理进度列下有治理完成字样时,表示该资产已通过所有相关检查项的检测。
风险等级表示该资产下未通过的检查项的风险级别。如果一个未通过的检查项存在多个风险级别,数据安全中心将只显示最高的风险级别。
处理配置风险。
处置风险
数据安全中心仅提供处置风险的操作指引,您需要自行处置相应风险。单击目标数据库实例操作列的处置,查看未通过的检查项及处置方案。
在风险详情页面,您可以单击处置,前往对应页面去处理风险。
为整个资产加白名单
如果安全工程师评估无需对某个数据库资产进行安全基线检查,您可以单击目标数据库实例操作列的加入白名单,将该资产下所有检测项都加入白名单。加入白名单后,该资产的治理进度会更新为治理完成。
为某个数据库实例的指定检查项加白名单
如果安全工程师评估指定资产需要排除某一个检查项,您可以单击目标数据库实例操作列的处置,在风险处置面板,单击目标检查项右侧的加入白名单。加入白名单后,该检查项状态将变更为已加白。
从策略角度
需要查看不同策略的检查结果时,您可以在页签,查看不同策略的列表,在指定策略的详情页面,查看该策略下支持的检查项列表及关联的资产清单。
登录数据安全中心控制台。
在左侧导航栏,选择。
在策略告警页签,查看策略列表。
告警数量表示存在未通过检查项的资产数量。
关联资产表示检查项检查的资产总数。每个检查项对应一个资产算作一项。
单击目标策略操作列的详情。
在详情页面查看风险态势和资产清单。
风险态势页签展示了该策略下所有的检查项及其详细信息,包括检查项内存在风险的资产数量、检查关联的资产数量和检查项状态。如需重新检测该检查项,您可以单击操作列的检测。
资产清单页签展示了该策略下所有检查项涉及的资产。您可以为相关资产针对指定的检查项加白或取消加白,也可单击处置,前往对应控制台处置当前风险项。
从检查项角度
您需要查看指定检查项检测出的风险时,您可以在安全基线页面,查看检查项的详细信息。
登录数据安全中心控制台。
在左侧导航栏,选择。
在策略列表中,单击目标策略名称前的
,查看该策略下支持的检查项。单击目标检查项操作列的详情或白名单配置,前往详情页面,查看该检查项关联的资产并进行相应的处置。
支持进行以下操作:
如果确认对于当前资产该检查项的检查结果可以忽略,您可以单击目标资产操作列的加入白名单,将该资产加入该检查项的白名单。
单击目标资产操作列的处置,前往对应控制台处置当前风险项。
处置完成后,您可以单击目标资产操作列的验证,验证处置是否已成功。
- 本页导读 (1)