随着企业上云进程的加快,由于云服务配置不合理、不合规等引发的安全风险与日俱增。如果没有加以重视并做及时的诊断处置,将会对企业云上业务带来巨大的安全隐患。
近期,华为云SA的云服务基线检查功能全面升级。它支持检测云服务(如IAM、OBS、ELB等)的身份认证、访问控制、日志审计等安全配置,可对云服务进行全面“体检”,第一时间了解云服务风险配置的所在位置和风险数目,并提供检测结果,针对存在的风险配置给出加固建议和帮助指导。帮助用户提前排除安全风险,保障云上业务的安全。
云服务基线检查是指对云服务关键配置项进行检测,通过执行扫描任务,检查基线配置的风险状态,对存在安全隐患的配置进行处置。如同人体必要的健康检查一般,云服务基线检查是企业上云的关键环节。
那么,怎么开启云上风险全面“体检”呢?如何判断云服务配置是否合规?怎样处理不合理配置?
接下来,就跟随小课的脚步,三步教您通过华为云基线检查发现云服务风险配置项,对检查结果做响应处置,轻松满足安全合规~~~
使用SA前,您需要购买SA戳这里
1、步骤一:设置检查计划
默认检查计划是每隔3天检查一次,每次在00:00~06:00进行检查。如果不使用默认计划,可以根据业务需求自定义检查计划。
1. 在“基线检查”页面,单击页面右上角的“设置检查计划”,进入检查计划设置页面。
2. 单击“创建计划”,系统右侧弹出新建检查计划页面。
3. 在弹出的新建检查计划页面,配置检查计划并单击“确定”。
SA会在指定的时间执行云服务基线扫描,扫描结果可以在“基线检查”中查看。
2、步骤二:执行检查计划
检查计划设置后,系统将根据指定检查时间进行检测。同时,还支持立即执行检查计划。
-
立即检查所有检查规范
SA可根据您设置的检查规范,立即执行已配置的检查规范。
“立即检查”任务在10分钟内仅能执行一次。
1. 在“基线检查”页面,单击页面右上角“立即检查”。
2. 刷新页面,查看“最近检查时间”,即可确认是否为最新的扫描结果。
-
立即执行某个检查计划
SA可立即手动执行您设置的某个检查计划。配置后,系统将立即执行已选择的基线检查计划。
手动立即执行“定期自动检查计划”在10分钟内仅能执行一次。
1. 在左侧导航栏选择“设置 > 检测设置”,进入检测设置页面。
2. 在待执行立即手动检查的检查计划所在栏的上方单击“立即检查”。
系统将立即执行已选择的基线检查计划。
3、步骤三:查看检查结果
-
查看检查结果总览
检查计划执行后,稍等片刻,即可在基线检查页面查看当前区域检测到的基线检查结果汇总数据。
表1 检查结果总览
-
查看“检查规范”详情
在“基线检查”页面,默认进入“检查规范”列表页面。
检查规范页面会展示所有基线检查规范,包括检查项、检查状态、风险资源、描述,以及最近检查时间等信息。
单击“查看详情”,可以跳转至对应检查项的详情页面。
基线检查提供风险项检查的详情查询能力,对某个的检查项执行了检查动作后,检查状态、时间、风险等级、描述、检查过程一目了然,并且支持查看这一检查项所覆盖的资源名称、类型,检查结果等。云服务基线检查的全貌信息和细节展现都一览无余。
-
查看“检查资源”详情
在“基线检查”页面,选择“检查资源”页签。
检查资源以列表形式聚合呈现所有的风险资源结果,并按照风险等级做降级排序,高优展示风险数目多,风险等级高的云上资源,便于您查看详情,根据指导建议做及时的响应处置。
单击“查看详情”,可以跳转至对应资源的详情页面。
针对某一检查资源,呈现该资源下所有检查项的列表明细,您可以根据聚合后的检查项,全面查看风险检查状态,再做对应的检查或者详情查看操作。
-
查看“检查结果”详情
在“基线检查”页面,选择“检查结果”页签。
单击“查看详情”,可以跳转至对应检查项的检查结果详情页面。
您可查看该检查项的检查状态、最近检查时间、检查方式、风险等级、检查描述及检查过程,还有相关资料为您提供响应处置的指导建议,还可以查看这一检查项所覆盖的资源名称、资源类型等聚合明细,可针对某一资源再进行对应的检查操作。
正视云上配置不合规、不合理导致的“病情”,通过云服务基线检查“安全体检”及时排查隐患,防患于未然,治患于根本,才能轻松满足安全合规,为云上业务保驾护航!
网络安全入门学习路线
其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。
1.网络安全法和了解电脑基础
其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...
别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图: 学到http和https抓包后能读懂它在说什么就行。
2.网络基础和编程语言
3.入手Web安全
web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。
最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。
等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。
这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。
学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。
其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。
4.安全体系
不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
尾言
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦! 网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!