腾讯云网络入侵防护系统检查报告详解

检查报告的组成

腾讯云网络入侵防护系统在完成自动化检查完后,会向用户预留的邮箱发送完整版PDF版本报告,报告包括如下内容:

1.基本信息: 用户ID、报告生成时间。

2.检查结果汇总: 图形化展示安全、可用性、性能、成本这四个维度下,处于高危、警告、正常的检查项个数。

3.检查结果明细:

  • 检查项
  • 检查项分类
  • 检查项状态等级
  • 检查项描述
  • 检查项状态判定标准
  • 优化建议
  • 更多参考
  • 高危或警告检查项关联的资源数量及其信息明细表

检查项等级状态说明

检查项具有高危、警告、正常3种风险等级。

检查项风险等级 等级含义
高危(红色) 检查项的结果存在对系统、资源的安全、可用性的严重威胁
警告(橙色) 检查项的结果存在一定风险,建议优化
正常(绿色) 检查项的结果与各种配置的最佳实践一致

检查项明细

当前腾讯云网络入侵防护系统为用户提供的检查项及其警报条件、优化建议等信息请参考下列分维度检查项明细一览表。

安全检查项
检查项检查维度关联服务检查项含义警报条件优化建议更多参考腾讯云服务器-共享镜像安全腾讯云服务器检查腾讯云服务器是否存在与其他用户共享的自定义镜像,避免长期共享镜像导致的安全风险。警告: 存在与其他用户共享的镜像。重新判断是否仍需要与其他用户共享镜像,如不需要则尽快取消镜像共享。腾讯云服务器共享自定义镜像腾讯云服务器-操作系统版本安全腾讯云服务器检查腾讯云服务器操作系统与该系列操作系统最新版的版本差异情况。
新版操作系统可能具有更高的安全性。警告:腾讯云服务器操作系统与该系列操作系统的最新版相差2个及以上版本。考虑升级腾讯云服务器的操作系统版本以获得更高的安全性保障。如果版本过老,可考虑停机及数据备份后重装操作系统。腾讯云服务器重装操作系统腾讯云服务器-安装主机安全客户端安全腾讯云服务器、BSS检查腾讯云服务器上是否安装了主机安全客户端。
主机安全客户端能够针对云服务器提供登录审计、异地登录报警、暴力破解攻击拦截,木马后门检查等多种安全功能,提升云服务器安全性,降低被黑客入侵的可能性。高危:腾讯云服务器未安装主机安全客户端。建议为腾讯云服务器安装腾讯云原厂配置主机安全客户端。linux平台主机安全客户端安装指南
Windows平台主机安全客户端安装指南腾讯云服务器-主机安全检测结果安全腾讯云服务器、BSS针对已安装主机安全客户端的腾讯云服务器进行安全检查,反馈最近14天的主机安全检测出的检查结果。
异地登陆威胁检测根据云服务器的异地登录进行分析并建立模型,避免非法登录可能造成的伤害。
密码暴力破解对云服务器的危害很大,如果被破解成功,会窃取管理员权限,从而危害用户信息和权益。高危:存在异地登录威胁。即,云服务器存在异地登录的行为。
高危:存在暴力破解威胁。即,云服务器存在通过被认定有暴力破解行为IP成功登录的情况。如果存在暴力破解威胁或异地登陆威胁,建议立即进入安全控制台-主机安全页面了解主机安全发现的安全威胁具体情况,并消除威胁。主机安全腾讯云服务器-安全检测服务SRD检测结果安全腾讯云服务器、SRD针对腾讯云服务器进行安全检查,反馈最近1次的安全检测服务SRD检查出的web漏洞和系统威胁检查结果。
安全检测服务可以帮助用户快速的发现业务系统中存在的问题,及时修复,提升业务安全性和稳定性。注意:SRD是从公网发起检测,没有公网IP地址的云服务器无法检测。高危:存在web漏洞。即,云服务器Web业务中存在SQL注入、XSS跨站、信息泄漏等安全漏洞。
高危:存在系统威胁。即,云服务器存在“特定软件威胁”或“弱密码威胁“。建议立即进入安全控制台-安全检测服务SRD页面了解SRD发现的web漏洞或系统威胁具体情况,根据检测报告中的漏洞类型、URL地址、漏洞参数、修复方案等信息来修复漏洞、处理威胁。安全检测服务SRDCDS-自动快照策略安全CDS检查云磁盘是否关联了自动快照策略,以防止意外删除或损坏。警告:存在未关联自动快照策略的云磁盘。建议将云磁盘关联自动快照策略,您可在磁盘列表页面为腾讯云服务器下的磁盘关联自动快照策略云磁盘自动快照策略安全组-特定端口不受限制安全腾讯云服务器-安全组检查安全组中允许对特定端口进行不受限制访问(0.0.0.0/0) 的规则。
不受限制的访问将增加发生恶意活动的机会。警告:低风险端口,访问端口 80、25、443 或465 不受限制。
警告:高风险端口,访问端口20、21、1433、1434、3306、3389、4333、5432 或 5500 不受限制。
警告:访问其他任何端口不受限制。应当设置仅允许有此需求的IP 地址访问特定端口。要限制访问特定 IP 地址,将后缀设置为 /32。在创建较为严格的规则后,务必删除过于宽松的规则。配置安全组安全组-不受限制的访问安全腾讯云服务器-安全组检查安全组中允许对资源进行不受限制访问的规则。
不受限制的访问将增加发生恶意活动的机会。警告:对于25,80 或 443 以外的端口,安全组规则有一个后缀为 /0 的源 IP 地址。应当尽量避免将安全组规则中的源IP地址配置为后缀为/0。在创建较为严格的规则后,务必删除过于宽松的规则。配置安全组负载均衡-监听安全安全负载均衡检查带监听器的负载均衡加密通信是否未使用推荐的安全配置。腾讯云建议使用安全协议。
如果从前端到负载均衡的连接使用安全协议,则客户端与负载均衡之间的请求会进行加密,这样更加安全。警告:负载均衡不包含任何使用安全协议的监听器。如果您需要保证传输到负载均衡器的流量安全,可以为前端连接使用HTTPS 或 SSL 协议。
将负载均衡器的预先定义 SSL 安全政策升级到最新版本。
只使用推荐的密码和协议,加密选项推荐:TLSv1.2协议。普通型负载均衡监听器配置
应用型负载均衡监听器配置
申购SSL证书
安全认证-管理证书腾讯云对象存储-Bucket权限安全腾讯云对象存储检查 腾讯云对象存储中具有开放访问权限的Bucket。
授予“允许所有用户读”权限可能会导致Bucket产生高于预期的费用。授予“允许所有用户读写”权限的Bucket权限会因允许用户在Bucket中添加、修改或删除项而造成潜在安全漏洞。警告: 允许所有用户读Bucket信息及内容。
高危:允许所有用户读写Bucket信息及内容。请确认Bucket是否真正需要完全开放访问。如果不是,请更新Bucket权限,只允许Bucket所有者或特定用户访问。更新Bucket权限腾讯云对象存储-Bucket日志记录安全腾讯云对象存储检查Bucket的是否开启了日志记录功能及具体日志记录配置。当一个Bucket开启访问日志功能后,会自动将对这个Bucket的访问请求,以小时为单位,按照固定的命名规则,生成日志文件写入用户指定的Bucket。
日志记录功能可以应用在访问统计和安全审核等方面,每条访问日志记录了单个访问请求的详细信息,包括请求者、Bucket名称、请求时间和请求操作等信息。
默认情况下日志功能不开启。黄色:此Bucket没有启用服务器访问日志功能。
黄色:目标Bucket权限不包括主账户,所以ABC 腾讯云网络入侵防护系统 不能检查它。
红色:目标Bucket不存在。
红色:目标Bucket与源Bucket的所有者不同。
红色:日志提交者没有目标Bucket的写入权限。建议您为大部分Bucket启用日志记录功能。如果目标Bucket权限不包括主账户并且想用 ABC 腾讯云网络入侵防护系统 来检查日志记录状态,请把主账户作为被授权者。
如果目标Bucket不存在,请选择现有Bucket作为目标,或创建一个新Bucket
如果目标Bucket和源Bucket的所有者不同,请将目标Bucket更改为所有者与源Bucket相同的Bucket。
如果日志提交者没有目标的写入权限 (写权限未启用),请向日志提交组授予上传/删除权限。设置Bucket访问日志
更新Bucket权限腾讯云对象存储-服务端加密安全腾讯云对象存储检查Bucket是否开启了服务端加密功能。
开启服务端加密功能后,数据上传时实现256为加密算法保护。警告:Bucket未开启服务端加密功能。建议为多数重要Bucket开启服务端加密功能。目前腾讯云对象存储支持两种加密方式:腾讯云对象存储托管密钥和KMS服务托管密钥。Bucket设置服务端加密RDS-白名单访问风险安全RDS检查RDS的白名单配置,并在白名单规则过于宽松时发出警告。
推荐您将白名单配置为,仅允许从特定的IP 地址进行访问。警告:RDS白名单允许全局访问。审查RDS白名单,只授权给希望允许访问的IP地址或IP范围。如需编辑RDS白名单,请使用前往腾讯云管理控制台,RDS实例详情页面。RDS白名单SCS-白名单访问风险安全SCS检查SCS的白名单配置,并在白名单规则过于宽松时发出警告。
推荐仅允许特定的IP地址访问实例。警告:SCS白名单允许全局访问。审查SCS白名单,只授权给希望允许访问的IP地址或IP范围。如需编辑SCS白名单,请使用前往腾讯云管理控制台,SCS实例详情页面。SCS白名单IAM-使用主子用户安全IAM检查您对 Identity and Access Management (IAM) 的使用情况。
使用IAM可以实现精细化权限管理,更好保障账户和资源安全。警告:没有为此账户创建 IAM 用户。您可以使用 IAM 在腾讯云中创建用户、组和角色,并且可以使用权限来控制对腾讯云资源的访问。管理IAM用户IAM-主用户开启MFA安全IAM检查IAM主用户MFA的开启状态。
双因素验证是一种简单有效的安全认证方法。它能够在用户名和密码之外,再增加一层保护。目前双因素认证可以提供登录保护和操作保护。警告:未为主用户开启MFA。为主用户开启MFA。IAM MFA
可用性检查项
检查项检查维度关联服务检查项含义警报条件优化建议更多参考腾讯云服务器-实例停用可用性腾讯云服务器检测腾讯云服务器中,是否有15天内即将过期的腾讯云服务器或已经停用的实例。
腾讯云服务器到期后,如果未完成续费操作,该腾讯云服务器的服务将被暂停,并在7天后释放该实例。警告:腾讯云服务器中,有15天内即将即将过期的腾讯云服务器。
高危:腾讯云服务器中,有已经停用的腾讯云服务器。如果您不打算继续使用即将过期或已到期的实例,建议您及时备份数据;
如果您希望继续使用即将过期或已到期的预付费实例,建议您提前续费,或开启自动续费;
如果您希望继续使用已停用的后付费实例,建议您及时为腾讯云账户充值。腾讯云服务器续费
腾讯云账户充值腾讯云服务器-可用区分布可用性腾讯云服务器检查所有实例的可用区分布,在有1个以上腾讯云服务器分布的区域内,腾讯云服务器是否至少有两个以上的可用区分布。
实例位于多个可用区可提高业务整体的可用性。警告:在有1个以上腾讯云服务器的区域内,只有一个可用区有腾讯云服务器分布。请将同一区域内的多个腾讯云服务器分布在2个以上可用区。当前,腾讯云服务器不能跨可用区迁移,您可在新建腾讯云服务器时,选择与之前实例不同的可用区。可用区CDS-云磁盘停用可用性CDS检测是否存在15天内即将过期的CDS云磁盘或已经停用的实例。
CDS到期后,如果未完成续费操作,该云磁盘的服务将被暂停,并在7天后释放磁盘。警告:存在15天内即将过期的CDS云磁盘。
高危:存在已经停用的CDS云磁盘。如果您不打算继续使用即将过期或已到期的CDS,建议您及时通过创建快照备份数据;
如果您希望继续使用即将过期或已到期的CDS,建议您提前续费,或开启自动续费;
如果您希望继续使用已停用的后付费CDS,建议您及时为腾讯云账户充值。CDS续费与自动续费
CDS快照
腾讯云账户充值CDS-快照时效可用性CDS检查 CDS的快照创建时间。新创建的快照通常具有更高的数据时效性。
CDS快照一直存放于对象存储腾讯云对象存储中,用于持久存储和时间点恢复。警告:最新的CDS快照创建于距今在7 - 30 天之间。
高危:最新的CDS快照创建于 距今30 天或更久之前。
高危:CDS没有快照。立即创建CDS快照,建议为CDS磁盘关联自动快照策略。创建CDS快照
CDS自动快照策略CDS-吞吐异动可用性CDS检查您的 CDS吞吐是否存在异常的突增或突减。警告: CDS流量吞吐存在异常变动。将1天内每个1小时的CDS吞吐与过去14天同一时段的CDS吞吐平均值对比,发现吞吐增加超过100%或减少超过50%。考虑检查相关服务情况以确认CDS连接正常及性能利用情况CDS监控负载均衡-负载均衡可用性负载均衡检查已经配置了后端服务器的负载均衡,后端服务器数量、是否分布在不同可用区、在不同可用区分布是否均衡。
将负载均衡后端服务器分布在不同可用区可提高业务整体可用性。警告:负载均衡后端服务器均分布在同一可用区。
警告:负载均衡后端服务器分布在不同可用区,但并不均衡。
高危:负载均衡后端服务器只有1个。负载均衡后端服务器数量应大于1个以充分发挥负载均衡的作用。
推荐将负载均衡后端服务器均衡得分布在不同可用区。配置普通型负载均衡后端服务器
配置应用型负载均衡后端服务器
负载均衡产品优势腾讯云对象存储-Bucket开启回收站可用性腾讯云对象存储检查Bucket是否开启了回收站功能。
为了提高腾讯云对象存储的数据可靠性,用户可以通过配置回收站的功能,保证删除后的数据在回收站内继续保留,用于后续对删除数据的找回。警告:Bucket未开启回收站。建议为大多数重要Bucket开启回收站功能。Bucket回收站RDS-多可用区可用性RDS检查RDS实例是否部署在单个可用区中。
多可用区部署的RDS实例,通过同步复制到不同可用区中的备用实例来增强数据库可用性。警告:RDS实例部署在单一可用区。如果您的业务要求数据库具备更高可用性,您可以使用原有单可用区实例克隆出一个新的多可用区数据库实例。RDS克隆实例
RDS多可用区实例RDS-磁盘打满可用性RDS根据数据库磁盘使用率的历史表现,预测未来数据库的使用趋势。
磁盘打满将影响写入,进而威胁服务可用性。警告:存在过去30天内,存储空间持续增长并且涨幅超过10%,当前存储使用量在70%以上的实例。存储空间持续增长或使用量高,推荐升级存储空间。RDS 配置变更RDS-实例停用可用性RDS检测RDS实例中,是否有15天内即将过期的RDS实例或已经停用的实例。
RDS实例到期后,如果未完成续费操作,该RDS实例的服务将被暂停,并在7天后释放实例。警告:RDS实例中,有小于等于15天即将过期的RDS实例。
高危:RDS实例中,有已经停用的RDS实例。如果您不打算继续使用即将过期或已到期的实例,建议您及时备份数据;
如果您希望继续使用即将过期或已到期的预付费实例,建议您提前续费,或开启自动续费;
如果您希望继续使用已停用的后付费实例,建议您及时为腾讯云账户充值。RDS数据备份
RDS手动续费
RDS自动续费
账户充值SCS-多可用区可用性SCS检查是否存在部署在单个可用区中的SCS实例。
SCS采用多可用区部署架构时,主节点与备节点分布在不同可用区,实现增强服务可用性。警告:存在部署在单一可用区的SCS实例。如果您的业务有高可用性要求,请将单可用区实例转换为多可用区实例。SCS转换可用区SCS-实例停用可用性SCS检测SCS实例中,是否有15天内即将过期或已经停用的实例。
SCS实例到期后,如果未完成续费操作,该实例将被暂停服务,并在7天后释放。警告:SCS实例中,存在将于15天内过期的实例。
高危:SCS实例中,存在已经停用的实例。如果您不打算继续使用即将过期或已到期的实例,建议您及时备份数据;
如果您希望继续使用即将过期或已到期的预付费实例,建议您提前续费,或开启自动续费;
如果您希望继续使用已停用的后付费实例,建议您及时为腾讯云账户充值。SCS续费
腾讯云账户充值账户欠费可用性财务中心检查账户欠费情况,给出充值建议,避免因欠费导致云盘资源不可访问,影响线上业务。高危:账户已欠费。为欠费的腾讯云账户充值。腾讯云账户充值
成本检查项
检查项检查维度关联服务检查项含义警报条件优化建议更多参考腾讯云服务器-低使用率成本腾讯云服务器检查在过去14天内运行的 腾讯云服务器 实例,如果在14 天内有4 天以上,每天CPU 平均使用率未超过10%,且网络 I/O 未超过 5 MB,则向您发出警告,避免成本浪费。检查在过去 14 天内时间运行的 腾讯云服务器,如果实例在4天以上的时间,每天CPU 使用率未超过10%,且网络 I/O 未超过 5 MB,则向您发出警告,避免成本浪费。警告:在过去 14 天中至少有 4 天,实例日均 CPU 使用率未超过 10%,且网络 I/O 未超过 5 MB。考虑降低实例配置、释放实例,或通过使用 Auto Scaling 调控实例。
注:当前后付费实例支持升配和降配,预付费实例只支持升配。
开启Auto Scaling请前往弹性伸缩产品页面。腾讯云服务器配置变更
腾讯云服务器监控
Auto ScalingCDS-未挂载的云磁盘成本CDS检查是否存在处于待挂载状态的CDS云磁盘资源。
磁盘从创建时就开始收费,未挂载的CDS将造成资源成本浪费。警告:存在未挂载的CDS资源。如果希望继续使用未挂载的CDS云磁盘,尽快将CDS挂载到腾讯云服务器。
如果确认不再使用未挂载的CDS云磁盘,为CDS创建快照后,释放云磁盘。挂载CDS云磁盘
CDS快照CDS-低使用率成本CDS检查已挂载的CDS云磁盘是否存在使用率低的问题。
如果磁盘读写活动非常少,则该磁盘很可能处于未被充分使用状态,造成资源成本浪费。警告:已挂载的CDS磁盘在过去 7 天里没有任何读写。如果您不打算继续使用低使用率的CDS,建议您及时通过创建快照备份数据,并释放磁盘;
如果您继续使用使用低使用率的CDS,可以考虑检查相关服务情况以提升CDS利用率。CDS快照
CDS监控弹性公网IP-未绑定的弹性公网IP成本弹性公网IP检查是否存在未绑定的弹性公网IP。
若弹性公网IP处于闲置状态,会产生不必要的成本。警告:存在未绑定的弹性公网IP。请将该弹性公网IP实例绑定腾讯云服务器或负载均衡,或释放该弹性公网IP。将弹性公网IP实例与腾讯云服务器绑定
将弹性公网IP实例与负载均衡实例绑定/解绑
释放弹性公网IP实例负载均衡-没有后端服务器成本负载均衡检查未配置有效后端服务器的负载均衡。
任何已购买的负载均衡都会产生费用,未充分利用将产生不必要成本。警告:负载均衡没有配置任何后端服务器。
警告:负载均衡没有正常运行的后端实例,即所有后端服务器均未通过健康检查。如果您的负载均衡没有正常运行的后端实例,则考虑配置后端服务器删除负载均衡。配置普通型负载均衡后端服务器
配置应用型负载均衡后端服务器RDS-闲置实例成本RDS检查可能存在闲置的RDS实例。如果RDS实例长时间处于连接数极低状态,您可以释放该实例以降低成本。警告:处于活跃状态的RDS实例在过去7天内连接数都小于等于2个。如如果您确认RDS实例是否处于闲置状态,且不打算继续使用,请创建数据备份,并将数据导出,然后释放该实例。RDS数据备份SCS-闲置实例成本SCS检查是否存在可能闲置的SCS实例。如果SCS实例长时间没有任何缓存访问请求,表示该实例可能存在闲置。警告:处于运行状态的SCS实例在过去7天内命中率为零。建议排查SCS没有缓存访问请求的原因。如果确定不再使用实例,先为闲置的SCS实例创建数据备份,并将数据导出,然后释放该实例。SCS监控
性能检查项
检查项检查维度关联服务检查项含义警报条件优化建议更多参考腾讯云服务器-高使用率性能腾讯云服务器检查在过去14天内运行的 腾讯云服务器 实例,如果在14 天内有4 天以上,每天CPU 平均使用率为90%以上,则将向您发出警告。
持续的高使用率可能表示腾讯云服务器性能稳定、得到充分利用,但也可能表示应用程序拥有的资源不足。警告:实例在过去14 天中至少有 4 天日均 CPU 使用率超过 90%。提高实例配置、增加实例数量,或开启Auto Scaling。
开启Auto Scaling请前往弹性伸缩产品页面。腾讯云服务器配置变更
腾讯云服务器监控
Auto ScalingCDS-高使用率性能CDS检查CDS云磁盘是否存在过度使用的问题,以及是否应当使用性能更优的CDS云磁盘。
过高的CDS使用率可能带来性能瓶颈。警告:在过去14天的至少7天内,CDS云磁盘每日IO使用率大于 95%。选择更高性能的CDS云磁盘类型。普通磁盘考虑升级到高性能磁盘;高性能磁盘考虑升级到SSD磁盘。CDS磁盘类型
CDS监控RDS-高使用率性能RDS根据RDS实例的CPU、连接数、IO使用率历史表现,预测未来数据库的性能趋势,在性能瓶颈出现前,提前给出合理的规格建议。警告:存在过去24小时内,CPU使用率超过70% 或连接数超过70% 并且累计超过60分钟的实例。CPU及连接数高,推荐升级CPU内存配置。RDS 配置变更RDS-慢SQL报表/诊断性能RDS检查用户是否开启了RDS for MySQL的慢SQL报表/诊断功能。
慢SQL指执行时间过长的SQL语句,出现慢SQL会影响运行性能。警告:存在RDS for MySQL未开启慢SQL报表/诊断功能。在RDS实例详情-日志管理页面开启RDS for MySQL的慢SQL报表/诊断功能后,您可以通过日志管理查看慢日志明细,定位和解决性能问题。慢SQL报表/诊断SCS-高使用率性能SCS检查是否存在SCS实例使用率过高的情况,根据SCS实例使用情况,在性能瓶颈出现前,提前给出合理的规格建议。警告:检查近14天的CPU和内存使用率,有4天以上CPU利用率>90%若CPU或内存使用率过高,建议您及时进行配置升级。SCS配置变更

标签