租户端 安全 配置核查(龙检) 常见问题 配置核查服务包含哪些检查项?

配置核查服务包含哪些检查项?

最近更新时间: 2022-10-24 10:52:12

配置核查(龙检)检查项目前包含弹性IP、负载均衡、云主机、龙卫士、龙巢、龙御、龙堡垒、龙巡等云产品,共27个检查指标。

检查指标项 风险等级 风险
外部域名接入规范 建行集团外的域名(不属于建行资产的域名)在面向互联网提供服务时,必须采用“CDN方案”接入建行云。且采用CDN进行加速的域名需满足下列要求: (一) 必须使用总行采购的CDN厂商(截止到2023年为网宿、阿里)。如果采购阿里CDN服务,需采购建行定制版服务。如果采购网宿CDN服务,需通知网宿将账号配置在ccb_cloud账号下,确保可有效进行联动封禁。 (二) 采用CDN进行加速的必须为标准HTTP/HTTPS业务。 (三) 必须将真实的客户端IP通过XFF字段传给建行云。
此外已使用CDN方案的域名,在配置龙御WAF时需配置“是否使用代理模式”为“是”,以便WAF可以获取真实客户端地址。
弹性IP 禁止云主机直接绑定弹性公网IP(EIP)用于业务或管理入口,可使用负载均衡对外提供服务,使用NAT实现互联网出访。
负载均衡-高危端口 应根据“最小化原则“开放对外服务端口,禁止对外暴露业务之外的端口。如将高危端口暴露在互联网,则存在暴力破解、漏洞利用等风险。
负载均衡-无WAF防护的业务 创建网站服务时,必须启用云WAF防护,以有效检测和防御针对WEB网站的入侵行为。
云WAF-外联业务防护配置 建行公有云支持通过PLA专线实现租户与自有数据中心、外联单位、建行私有云互通,当租户作为外联服务提供方时,必须启用云WAF防护,以有效检测和防御针对HTTP/HTTPS应用服务的入侵行为。
云WAF-WAF启用 所有互联网业务必须启用云WAF,且WAF开关为开启。如不开启,WAF不会进行攻击检测,导致WAF防护失效。
云WAF-WAF配置模式 所有互联网业务必须启用云WAF,且开启拦截模式。如开启的为观察模式,则只会记录攻击日志,并不阻断攻击,导致WAF防护失效。
云WAF-门神规则 所有互联网业务必须启用云WAF,且开启所有检测功能。同时,不可关闭任何的内置规则。
云WAF-IP白名单 所有互联网业务必须启用云WAF,如果添加IP白名单,则此IP进行的访问请求都不会进行攻击检测和拦截。
云WAF-规则白名单 所有互联网业务必须启用云WAF,且开启所有检测功能。同时,不可加任何的规则白名单。
云WAF-自定义规则 所有互联网业务必须启用云WAF,且不可添加放行的自定义规则。如果添加了放行的自定义规则,则此规则匹配的请求将没有云WAF防护。
云主机-龙卫士防护 创建云主机时,需开启龙卫士主机安全的专业防护,以有效检测针对主机的暴力破解、异常登录和木马攻击等入侵行为。
云主机-龙卫士告警 龙卫士主机安全产品有效检测云主机的暴力破解、异常登录和木马攻击等入侵行为。
云主机-存在开发环境/高危服务 建行云不允许在生产环境进行开发测试,否则存在源码泄漏等风险;不允许部署高危服务,否在存在被攻击利用的风险。
龙巢-本地镜像配置 建行云提供龙巢(容器安全)产品,要求租户打开本地镜像扫描开关,保证可以及时发现本地镜像中的安全漏洞、敏感信息、木马病毒等。
龙巢-运行时安全配置 建行云提供龙巢(容器安全)产品,要求租户打开容器逃逸监控开关,保证可以及时发现容器逃逸事件。
龙巢-安全事件数量 建行云提供龙巢(容器安全)产品,可以有效检测运行时风险,包括容器逃逸、反弹shell、异常进程、文件篡改、高危系统调用,要求租户关注告警内容,及时处理。
龙巡-标准部署模式 建行云提供龙巡(漏洞扫描)产品,要求租户按部署规范在每VPC部署龙巡服务器。
龙巡定期漏扫 当主机资产发生变化,当不断有新漏洞被发现和利用,都会增加资产安全风险,如果不定期对资产进行漏洞扫描就无法发现这些新的安全风险。
云主机-漏洞 建行云定期对云服务器进行漏洞扫描,所有漏洞都应及时整改,否则存在利用漏洞进行攻击的风险。
龙堡垒-标准部署模式 建行云不允许将内网堡垒机直接面向互联网暴露,否则存在攻破利用等风险。
龙堡垒-应急通道配置 龙堡垒为运维产品,直接面向互联网存在巨大风险隐患。
龙堡垒-版本及集中纳管 龙堡垒产品为运维审计产品,集中纳管后可实现后台统一版本管理及漏洞升级,从而避免低版本可能存在的漏洞风险。
云主机-绑定安全组 创建云主机时,需绑定安全组策略,实施安全基线加固,阻断病毒以及不必要开放的端口。现云平台添加了对堡垒机和前置机安全组的检查,规则如下: 前置机: 入站允许 0.0.0.0/0 80 堡垒机IP 22 出站允许 堡垒机IP 8119 堡垒机: 入站允许 前置机 IP 8119 出站允许 0.0.0.0 22(ssh),13389(rdp),10800(windows口令上收)、36000(裸金属纳管)
安全组-基础策略 需严格遵守“默认禁止,按需开通”的原则,合理约束网络访问策略,规避恶意访问和安全威胁,从而有效保障云上资源的安全稳定运行。 龙巡特定安全组(名称为ScannerSecurityGroup)的入站规则为0.0.0.0 端口为ALL 拒绝,出站规则为0.0.0.0 端口ALL 允许; 其他安全组的不可出现0.0.0.0 端口ALL 接受的入站或出站规则。
证书-过期提醒 客户访问证书过期的网站将显示网站不安全的提醒,影响企业信任度。且存在数据传输、数据泄露的风险。
资产探测-风险数据 建行云不允许面向互联网保留高危服务或风险路径,否则存在数据泄漏等风险。
*具体处置方案请参考基线核查>检查项>点击相应检查指标项后的“查看”,在最下方整改建议