配置核查服务包含哪些检查项?
最近更新时间: 2022-10-24 10:52:12
配置核查(龙检)检查项目前包含弹性IP、负载均衡、云主机、龙卫士、龙巢、龙御、龙堡垒、龙巡等云产品,共27个检查指标。
| 检查指标项 | 风险等级 | 风险 |
| 外部域名接入规范 | 中 | 建行集团外的域名(不属于建行资产的域名)在面向互联网提供服务时,必须采用“CDN方案”接入建行云。且采用CDN进行加速的域名需满足下列要求: (一) 必须使用总行采购的CDN厂商(截止到2023年为网宿、阿里)。如果采购阿里CDN服务,需采购建行定制版服务。如果采购网宿CDN服务,需通知网宿将账号配置在ccb_cloud账号下,确保可有效进行联动封禁。 (二) 采用CDN进行加速的必须为标准HTTP/HTTPS业务。 (三) 必须将真实的客户端IP通过XFF字段传给建行云。
此外已使用CDN方案的域名,在配置龙御WAF时需配置“是否使用代理模式”为“是”,以便WAF可以获取真实客户端地址。 |
| 弹性IP | 高 | 禁止云主机直接绑定弹性公网IP(EIP)用于业务或管理入口,可使用负载均衡对外提供服务,使用NAT实现互联网出访。 |
| 负载均衡-高危端口 | 高 | 应根据“最小化原则“开放对外服务端口,禁止对外暴露业务之外的端口。如将高危端口暴露在互联网,则存在暴力破解、漏洞利用等风险。 |
| 负载均衡-无WAF防护的业务 | 高 | 创建网站服务时,必须启用云WAF防护,以有效检测和防御针对WEB网站的入侵行为。 |
| 云WAF-外联业务防护配置 | 中 | 建行公有云支持通过PLA专线实现租户与自有数据中心、外联单位、建行私有云互通,当租户作为外联服务提供方时,必须启用云WAF防护,以有效检测和防御针对HTTP/HTTPS应用服务的入侵行为。 |
| 云WAF-WAF启用 | 高 | 所有互联网业务必须启用云WAF,且WAF开关为开启。如不开启,WAF不会进行攻击检测,导致WAF防护失效。 |
| 云WAF-WAF配置模式 | 高 | 所有互联网业务必须启用云WAF,且开启拦截模式。如开启的为观察模式,则只会记录攻击日志,并不阻断攻击,导致WAF防护失效。 |
| 云WAF-门神规则 | 中 | 所有互联网业务必须启用云WAF,且开启所有检测功能。同时,不可关闭任何的内置规则。 |
| 云WAF-IP白名单 | 中 | 所有互联网业务必须启用云WAF,如果添加IP白名单,则此IP进行的访问请求都不会进行攻击检测和拦截。 |
| 云WAF-规则白名单 | 中 | 所有互联网业务必须启用云WAF,且开启所有检测功能。同时,不可加任何的规则白名单。 |
| 云WAF-自定义规则 | 中 | 所有互联网业务必须启用云WAF,且不可添加放行的自定义规则。如果添加了放行的自定义规则,则此规则匹配的请求将没有云WAF防护。 |
| 云主机-龙卫士防护 | 高 | 创建云主机时,需开启龙卫士主机安全的专业防护,以有效检测针对主机的暴力破解、异常登录和木马攻击等入侵行为。 |
| 云主机-龙卫士告警 | 中 | 龙卫士主机安全产品有效检测云主机的暴力破解、异常登录和木马攻击等入侵行为。 |
| 云主机-存在开发环境/高危服务 | 高 | 建行云不允许在生产环境进行开发测试,否则存在源码泄漏等风险;不允许部署高危服务,否在存在被攻击利用的风险。 |
| 龙巢-本地镜像配置 | 中 | 建行云提供龙巢(容器安全)产品,要求租户打开本地镜像扫描开关,保证可以及时发现本地镜像中的安全漏洞、敏感信息、木马病毒等。 |
| 龙巢-运行时安全配置 | 中 | 建行云提供龙巢(容器安全)产品,要求租户打开容器逃逸监控开关,保证可以及时发现容器逃逸事件。 |
| 龙巢-安全事件数量 | 中 | 建行云提供龙巢(容器安全)产品,可以有效检测运行时风险,包括容器逃逸、反弹shell、异常进程、文件篡改、高危系统调用,要求租户关注告警内容,及时处理。 |
| 龙巡-标准部署模式 | 高 | 建行云提供龙巡(漏洞扫描)产品,要求租户按部署规范在每VPC部署龙巡服务器。 |
| 龙巡定期漏扫 | 中 | 当主机资产发生变化,当不断有新漏洞被发现和利用,都会增加资产安全风险,如果不定期对资产进行漏洞扫描就无法发现这些新的安全风险。 |
| 云主机-漏洞 | 高 | 建行云定期对云服务器进行漏洞扫描,所有漏洞都应及时整改,否则存在利用漏洞进行攻击的风险。 |
| 龙堡垒-标准部署模式 | 高 | 建行云不允许将内网堡垒机直接面向互联网暴露,否则存在攻破利用等风险。 |
| 龙堡垒-应急通道配置 | 高 | 龙堡垒为运维产品,直接面向互联网存在巨大风险隐患。 |
| 龙堡垒-版本及集中纳管 | 高 | 龙堡垒产品为运维审计产品,集中纳管后可实现后台统一版本管理及漏洞升级,从而避免低版本可能存在的漏洞风险。 |
| 云主机-绑定安全组 | 中 | 创建云主机时,需绑定安全组策略,实施安全基线加固,阻断病毒以及不必要开放的端口。现云平台添加了对堡垒机和前置机安全组的检查,规则如下: 前置机: 入站允许 0.0.0.0/0 80 堡垒机IP 22 出站允许 堡垒机IP 8119 堡垒机: 入站允许 前置机 IP 8119 出站允许 0.0.0.0 22(ssh),13389(rdp),10800(windows口令上收)、36000(裸金属纳管) |
| 安全组-基础策略 | 中 | 需严格遵守“默认禁止,按需开通”的原则,合理约束网络访问策略,规避恶意访问和安全威胁,从而有效保障云上资源的安全稳定运行。 龙巡特定安全组(名称为ScannerSecurityGroup)的入站规则为0.0.0.0 端口为ALL 拒绝,出站规则为0.0.0.0 端口ALL 允许; 其他安全组的不可出现0.0.0.0 端口ALL 接受的入站或出站规则。 |
| 证书-过期提醒 | 低 | 客户访问证书过期的网站将显示网站不安全的提醒,影响企业信任度。且存在数据传输、数据泄露的风险。 |
| 资产探测-风险数据 | 高 | 建行云不允许面向互联网保留高危服务或风险路径,否则存在数据泄漏等风险。 |