一、云安全中心簡(jiǎn)介

云安全中心是一個(gè)實(shí)時(shí)識(shí)別、分析、預(yù)警安全威脅的統(tǒng)一安全管理系統(tǒng)，通過防勒索、防病毒、防篡改、鏡像安全掃描、合規(guī)檢查等安全能力，實(shí)現(xiàn)威脅檢測(cè)、響應(yīng)、溯源的自動(dòng)化安全運(yùn)營閉環(huán)，保護(hù)云上資產(chǎn)和本地服務(wù)器。

• 對(duì)多種網(wǎng)絡(luò)和主機(jī)日志進(jìn)行檢索，調(diào)查訪問量，統(tǒng)計(jì)和分析各維度的原始日志信息。
• 監(jiān)控AK泄露、網(wǎng)絡(luò)入侵事件、DDoS攻擊事件、ECS惡意肉雞等行為，并對(duì)ECS開放的端口進(jìn)行實(shí)時(shí)監(jiān)控。
• 對(duì)ECS中發(fā)生的入侵事件（例如：Webshell、惡意軟件、核心數(shù)據(jù)被加密勒索等）進(jìn)行回溯，發(fā)現(xiàn)入侵的原因和全過程。
• 多云資產(chǎn)接入功能。

1、云安全中心可以為我們提供哪些安全保障？

（1）安全預(yù)防

•   漏洞掃描與修復(fù)：主流系統(tǒng)、軟件漏洞掃描，并支持漏洞一鍵修復(fù)。
• 云平臺(tái)配置檢查：基于云平臺(tái)安全實(shí)踐，聯(lián)動(dòng)云產(chǎn)品能力形成安全閉環(huán)。
• 基線檢查：基于阿里云最佳配置核查清單，降低配置不當(dāng)引起的風(fēng)險(xiǎn)。

（2）主動(dòng)防御 

• 防勒索、防病毒：實(shí)時(shí)攔截已知勒索病毒、挖礦、蠕蟲、DDoS等七類病毒。
• 防篡改：防止網(wǎng)站被植入涉恐涉政、暗鏈、后門等，保障網(wǎng)頁正常。
• 應(yīng)用白名單：防止未經(jīng)授權(quán)的應(yīng)用異常啟動(dòng)，影響業(yè)務(wù)正常運(yùn)行。

（3）威脅檢測(cè) 

• 250+威脅檢測(cè)模型：為您提供全鏈路的威脅檢測(cè)能力，讓黑客無處遁形。
• 告警自動(dòng)化分析關(guān)聯(lián)：自動(dòng)關(guān)聯(lián)告警、識(shí)別低危異常形成的入侵，提升運(yùn)營效率。
• 安全態(tài)勢(shì)：安全大屏知己、知彼、知威脅多維度展現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)。

（4）調(diào)查&響應(yīng)

• 自動(dòng)化攻擊溯源：自動(dòng)溯源攻擊源和原因，幫用戶了解入侵威脅，快速響應(yīng)。
• 日志分析&審計(jì)：提供日志審計(jì)、分析能力，提供攻擊追溯、合規(guī)的平臺(tái)。

（5）容器安全 

• 鏡像漏洞掃描：支持容器鏡像的深度漏洞掃描，提供漏洞修復(fù)方案。
• 容器威脅檢測(cè)：容器運(yùn)行時(shí)刻及容器K8S威脅檢測(cè)。
• 容器防火墻：為容器環(huán)境提供訪問控制策略的智能學(xué)習(xí)、告警、攔截的一體化網(wǎng)絡(luò)防火墻服務(wù)。

為什么做云安全掃描。

2、云安全中心適合哪些應(yīng)用場(chǎng)景？

等保合規(guī)場(chǎng)景、混合云主機(jī)安全場(chǎng)景、容器安全場(chǎng)景。

3、為什么選擇云安全中心？

云安全中心能夠統(tǒng)一管控所有資產(chǎn)并實(shí)時(shí)監(jiān)控云上業(yè)務(wù)整體安全，上千臺(tái)服務(wù)器中的漏洞、威脅和攻擊情況一目了然；并且，針對(duì)檢測(cè)到的漏洞和風(fēng)險(xiǎn)配置項(xiàng)提供監(jiān)控與修復(fù)服務(wù)。

• 對(duì)于個(gè)人、業(yè)務(wù)量不大且不重要的用戶：選擇基礎(chǔ)版功能（不付費(fèi)）。
• 對(duì)于企業(yè)級(jí)、流量大的用戶：選擇高級(jí)版、企業(yè)版等強(qiáng)大的防護(hù)功能來抵御攻擊。

二、漏洞掃描

云安全中心支持上萬種漏洞掃描&修復(fù)，漏洞掃描又分為周期性自動(dòng)掃描漏洞和手動(dòng)掃描漏洞。

1、手動(dòng)掃描&導(dǎo)出

手動(dòng)掃描可以獲取最新的漏洞信息： 

2、自動(dòng)掃描

在漏洞管理設(shè)置中設(shè)置自動(dòng)掃描的周期： 

 3、API調(diào)用

前提條件：

子賬戶授權(quán)云安全中心權(quán)限，生成AKSK信息。

（1）掃描獲取特定應(yīng)急漏洞的名稱信息

https://help.aliyun.com/document_detail/421691.html示例：掃描Spring Framework JDK >= 9 遠(yuǎn)程代碼執(zhí)行漏洞 。

參數(shù)配置：

*JSON
Lang:zh
RiskStatus:y
ScanType:python
VulName:Spring Framework JDK >= 9 遠(yuǎn)程代碼執(zhí)行漏洞*

查看結(jié)果：

Apache
{
  "TotalCount": 1,
  "RequestId": "xxx",
  "PageSize": 5,
  "CurrentPage": 1,
  "GroupedVulItems": [
    {
      "Status": 30,
      "PendingCount": 1,
      "Type": "python",
      "Description": "2022年3月31日，Spring官方發(fā)布安全公告，披露CVE-2022-22965 Spring Framework 遠(yuǎn)程代碼執(zhí)行漏洞。由于Spring框架存在處理流程缺陷，攻擊者可在遠(yuǎn)程條件下，實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的后門文件寫入和配置修改，繼而通過后門文件訪問獲得目標(biāo)主機(jī)權(quán)限。使用Spring框架或衍生框架構(gòu)建網(wǎng)站等應(yīng)用，且同時(shí)使用JDK版本在9及以上版本的，易受此漏洞攻擊影響。",
      "CheckType": 1,
      "AliasName": "Spring Framework JDK >= 9 遠(yuǎn)程代碼執(zhí)行漏洞",
      "GmtLastCheck": 1654479941000,
      "GmtPublish": 1648688400000,
      "Name": "emg:SCA:AVD-2022-1124599"
    }
  ]
}

（2）查詢所有服務(wù)器分組信息

https://help.aliyun.com/document_detail/421720.html示例： 

參數(shù)配置：

JSON
Lang:z

查看結(jié)果：

Apache
{
  "RequestId": "xxx",
  "Groups": [
    {
      "GroupName": "未分組",
      "GroupFlag": 0,
      "GroupId": 123
    },
  ],
  "Count": 1
}

（3）導(dǎo)出漏洞列表&查看漏洞導(dǎo)出任務(wù)的進(jìn)度

• https://help.aliyun.com/document_detail/421868.html#api-detail-0
• https://help.aliyun.com/document_detail/421867.htmlExportVul

接口用于導(dǎo)出漏洞列表，與DescribeVulExportInfo接口配合使用。使用ExportVul接口建立漏洞導(dǎo)出任務(wù)之后，可調(diào)用DescribeVulExportInfo接口錄入漏洞導(dǎo)出任務(wù)的ID，查看漏洞導(dǎo)出任務(wù)的進(jìn)度。

示例：導(dǎo)出groupID為123的資產(chǎn)組的未修復(fù)軟件漏洞：

參數(shù)配置：

JSON
Lang:zh
Type:app
Dealed:n
GroupId:123

查看結(jié)果：

Apache
{
  "RequestId": "xxx",
  "FileName": "app_20220622",
  "Id": 321
}

 參數(shù)配置：

JSON
ExportId:321

查看結(jié)果：

Apache
{
  "Progress": 100,
  "TotalCount": 64,
  "RequestId": "xxx",
  "Message": "success",
  "FileName": "app_20220622",
  "ExportStatus": "success",
  "CurrentCount": 64,
  "Id": 321,
  "Link": "https://vul-export.oss-cn-shanghai.aliyuncs.com/export/xxx
}

4、釘釘告警群

在云安全中心-設(shè)置-通知中可以添加釘釘告警機(jī)器人，根據(jù)資產(chǎn)分組或通知范圍設(shè)置告警；webhook地址在添加釘群自定義機(jī)器人后生成 。

5、漏洞分類

按照漏洞類型可分為系統(tǒng)漏洞與軟件漏洞，各個(gè)環(huán)境又都分為日常漏洞和應(yīng)急漏洞。

三、漏洞修復(fù)

云安全中心支持對(duì)主流漏洞類型進(jìn)行檢測(cè)并提供一鍵修復(fù)功能：

• 一鍵修復(fù)Linux軟件漏洞后，Linux系統(tǒng)的YUM源包管理系統(tǒng)會(huì)對(duì)漏洞補(bǔ)丁安裝包進(jìn)行自動(dòng)下載、安裝和清理（漏洞修復(fù)完成3天后自動(dòng)清理），無需手動(dòng)操作。
• 一鍵修復(fù)Windows系統(tǒng)漏洞后，云安全中心Agent會(huì)自動(dòng)下載、安裝和清理漏洞補(bǔ)丁安裝包，無需手動(dòng)操作。漏洞修復(fù)完成超過3天后，如果安裝包未被及時(shí)清理掉，可手動(dòng)清理漏洞補(bǔ)丁包。

開始漏洞修復(fù)前一般會(huì)列出一個(gè)修復(fù)進(jìn)度表，如圖： 

1、系統(tǒng)漏洞

（1）預(yù)約修復(fù)時(shí)間

a、預(yù)約要素

• 釘群：供應(yīng)商群
• 艾特：供應(yīng)商負(fù)責(zé)人
• 原因：說明來由
• 事項(xiàng)：要干什么
• 時(shí)間：什么時(shí)候做
• 分工：我們做什么、供應(yīng)商需要配合什么

b、參考模板（根據(jù)實(shí)際情況更改）

測(cè)試環(huán)境：

待測(cè)試環(huán)境修復(fù)完成后，預(yù)約生產(chǎn)修復(fù)升級(jí)

生產(chǎn)環(huán)境：

（2）開始修復(fù)

使用阿里云安全中心的一鍵掃描功能：

（3）驗(yàn)證漏洞 

（4）通知供應(yīng)商驗(yàn)證功能

2、軟件漏洞

軟件漏洞由供應(yīng)商來修復(fù)，與系統(tǒng)漏洞同理，測(cè)試環(huán)境完成修復(fù)并驗(yàn)證各項(xiàng)功能后開始修復(fù)生產(chǎn)環(huán)境漏洞。 

參考模板：

hello，xx，近期我們已經(jīng)系統(tǒng)漏洞修復(fù)完成，表格中為軟件漏洞具體信息，麻煩安排下修復(fù)時(shí)間，近期可對(duì)測(cè)試環(huán)境進(jìn)行修復(fù)，修復(fù)完成并完成驗(yàn)證后再對(duì)生產(chǎn)進(jìn)行修復(fù)，修復(fù)過程中有進(jìn)度請(qǐng)及時(shí)與我同步。