云小课丨SA基线检查：给云服务来一次全面“体检”

随着企业上云进程的加快，由于云服务配置不合理、不合规等引发的安全风险与日俱增。如果没有加以重视并做及时的诊断处置，将会对企业云上业务带来巨大的安全隐患。

近期，华为云SA的云服务基线检查功能全面升级。它支持检测云服务（如IAM、OBS、ELB等）的身份认证、访问控制、日志审计等安全配置，可对云服务进行全面“体检”，第一时间了解云服务风险配置的所在位置和风险数目，并提供检测结果，针对存在的风险配置给出加固建议和帮助指导。帮助用户提前排除安全风险，保障云上业务的安全。

云服务基线检查是指对云服务关键配置项进行检测，通过执行扫描任务，检查基线配置的风险状态，对存在安全隐患的配置进行处置。如同人体必要的健康检查一般，云服务基线检查是企业上云的关键环节。

那么，怎么开启云上风险全面“体检”呢？如何判断云服务配置是否合规？怎样处理不合理配置？

接下来，就跟随小课的脚步，三步教您通过华为云基线检查发现云服务风险配置项，对检查结果做响应处置，轻松满足安全合规~~~

使用SA前，您需要购买SA戳这里

1、步骤一：设置检查计划

默认检查计划是每隔3天检查一次，每次在00:00~06:00进行检查。如果不使用默认计划，可以根据业务需求自定义检查计划。

1. 在“基线检查”页面，单击页面右上角的“设置检查计划”，进入检查计划设置页面。

2. 单击“创建计划”，系统右侧弹出新建检查计划页面。

3. 在弹出的新建检查计划页面，配置检查计划并单击“确定”。

SA会在指定的时间执行云服务基线扫描，扫描结果可以在“基线检查”中查看。

2、步骤二：执行检查计划

检查计划设置后，系统将根据指定检查时间进行检测。同时，还支持立即执行检查计划。

• 立即检查所有检查规范

SA可根据您设置的检查规范，立即执行已配置的检查规范。

“立即检查”任务在10分钟内仅能执行一次。​

1. 在“基线检查”页面，单击页面右上角“立即检查”。

2. 刷新页面，查看“最近检查时间”，即可确认是否为最新的扫描结果。

• 立即执行某个检查计划

SA可立即手动执行您设置的某个检查计划。配置后，系统将立即执行已选择的基线检查计划。

手动立即执行“定期自动检查计划”在10分钟内仅能执行一次。

1. 在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。

2. 在待执行立即手动检查的检查计划所在栏的上方单击“立即检查”。

系统将立即执行已选择的基线检查计划。

3、步骤三：查看检查结果

• 查看检查结果总览

检查计划执行后，稍等片刻，即可在基线检查页面查看当前区域检测到的基线检查结果汇总数据。

表1 检查结果总览

• 查看“检查规范”详情

在“基线检查”页面，默认进入“检查规范”列表页面。

检查规范页面会展示所有基线检查规范，包括检查项、检查状态、风险资源、描述，以及最近检查时间等信息。

单击“查看详情”，可以跳转至对应检查项的详情页面。

基线检查提供风险项检查的详情查询能力，对某个的检查项执行了检查动作后，检查状态、时间、风险等级、描述、检查过程一目了然，并且支持查看这一检查项所覆盖的资源名称、类型，检查结果等。云服务基线检查的全貌信息和细节展现都一览无余。

• 查看“检查资源”详情

在“基线检查”页面，选择“检查资源”页签。

检查资源以列表形式聚合呈现所有的风险资源结果，并按照风险等级做降级排序，高优展示风险数目多，风险等级高的云上资源，便于您查看详情，根据指导建议做及时的响应处置。

单击“查看详情”，可以跳转至对应资源的详情页面。

针对某一检查资源，呈现该资源下所有检查项的列表明细，您可以根据聚合后的检查项，全面查看风险检查状态，再做对应的检查或者详情查看操作。

• 查看“检查结果”详情

在“基线检查”页面，选择“检查结果”页签。

单击“查看详情”，可以跳转至对应检查项的检查结果详情页面。

您可查看该检查项的检查状态、最近检查时间、检查方式、风险等级、检查描述及检查过程，还有相关资料为您提供响应处置的指导建议，还可以查看这一检查项所覆盖的资源名称、资源类型等聚合明细，可针对某一资源再进行对应的检查操作。

正视云上配置不合规、不合理导致的“病情”，通过云服务基线检查“安全体检”及时排查隐患，防患于未然，治患于根本，才能轻松满足安全合规，为云上业务保驾护航！

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图： 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的，自然成了的重点关照对象，有事没事就来入侵一波，你说不管能行吗！ 想学好Web安全，咱首先得先弄清web是怎么搭建的，知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点，然后再学点python，起码得看懂部分代码吧。

最后网站开发知识多少也要了解点，不过别紧张，只是学习基础知识。

等你用几周的时间学完这些，基本上算是具备了入门合格渗透工程师的资格，记得上述的重点要重点关注哦！ 再就是，要正式进入web安全领域，得学会web渗透，OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握，像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥，一边打怪刷级一边成长岂不美哉，每个攻击手段都能让你玩得不亦乐乎，而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完，还得掌握相关系统层面漏洞，像ms17-010永恒之蓝等各种微软ms漏洞，所以要学习后渗透。可能到这里大家已经不知所云了，不过不要紧，等你学会了web渗透再来看会发现很简单。

其实学会了这几步，你就正式从新手小白晋升为入门学员了，真的不算难，你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师，也就只能做个基础的安全服务，而这个领域还有很多业务，像攻防演练、等保测评、风险评估等，我们的能力根本不够看。

所以想要成为一名合格的网络工程师，想要拿到安全公司的offer，还得再掌握更多的网络安全知识，能力再更上一层楼才行。即便以后进入企业，也需要学习很多新知识，不充实自己的技能就会被淘汰。

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包，需要的小伙伴可以点击链接领取哦！ 网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！