You need to enable JavaScript to run this app.
导航
云平台配置检查项说明
最近更新时间:2023.09.14 22:40:59首次发布时间:2023.01.09 11:46:49

云平台配置检查是云安全中心提供的平台配置项检查服务,帮助您及时发现火山引擎相关云产品的风险配置项,目前支持对象存储与安全组的安全配置检查与管理。

前提条件

您已授权云安全中心相关云产品安全检查权限。

检查项说明及修复建议

对象存储

检查项

说明

修复建议

应启用存储桶历史数据恢复功能

  • 检查是否启用了版本控制,如果否,则不合规。
  • 版本控制是针对存储空间(Bucket)级别的数据保护功能。开启该功能后,当您删除或覆盖数据时,TOS会自动保存您原数据的历史版本,当您误操作时,您可以将数据恢复至历史版本,避免数据丢失或修改。
  1. 进入对象存储(TOS)控制台,在桶列表选择对应的 Bucket。
  2. 选择权限管理>容灾与容错>版本控制
  3. 单击编辑
  4. 开启版本控制并确认。

应限制对匿名账号授予读写/完全控制权限

  • 检查存储桶及ACL是否对匿名账号授予读写/完全控制权限,如果是,则不合规。
  • 创建公共访问权限后,任意用户均可不通过验证访问您的存储桶,为了保证您的文件安全性,不建议对匿名账号授予读写/完全控制权限。

说明

请在确认不影响业务的前提下,进行修复。

  • 方法一
    1. 进入云安全中心控制台
    2. 选择安全预防>云平台配置检查>检查内容
    3. 单击该检查项对应的详情
    4. 勾选未通过检查的资源后单击快速修复
  • 方法二
    1. 进入对象存储(TOS)控制台,在桶列表选择对应的 Bucket。
    2. 选择权限管理>桶ACLs>公共访问权限
    3. 单击匿名用户组对应的编辑
    4. 取消读写/完全控制授权并确认。

应限制对匿名用户授予存在风险的动作

检查TOS所有Bucket是否允许公共读写/公共读,如果是,则不合规。

  1. 进入对象存储(TOS)控制台,在桶列表选择对应的 Bucket。
  2. 选择权限管理>存储桶授权策略管理
  3. 单击对应策略的编辑
  4. 被授权用户选择匿名用户
  5. 取消 Put*、 List*、ListBucket、GetObject 、PutObject、PutObjectAcl 、PutBucketAcl、PutBucketPolicy 等动作授权并确认。

说明

如业务对匿名公共访问有强需求,且信息泄露风险可接受,则仅开启 GetObject 权限。

安全组

检查项

说明

修复建议

应遵循最小权限原则开放安全组访问策略

  • 检查是否按最小力度开放访问策略,如果否,则不合规。
  • 建议安全组最小粒度开放访问策略 ,仅对必须全网开放的服务端口才开启0.0.0.0/0 ,例如 80、 8080。 端口22 、3389 等不建议全网开启,应遵循最小原则。
  1. 进入云服务器(ECS)控制台
  2. 选择网络安全>安全组
  3. 单击对应安全组的配置规则
  4. 根据实际使用情况,遵循最小授权原则允许/拒绝端口服务。