云小课丨SA基线检查：给云服务来一次全面“体检”

摘要：随着企业上云进程的加快，由于云服务配置不合理、不合规等引发的安全风险与日俱增。如果没有加以重视并做及时的诊断处置，将会对企业云上业务带来巨大的安全隐患。

本文分享自华为云社区《云小课丨安全第11课 SA基线检查：给云服务来一次全面“体检”》，作者：云安全才子 。

随着企业上云进程的加快，由于云服务配置不合理、不合规等引发的安全风险与日俱增。如果没有加以重视并做及时的诊断处置，将会对企业云上业务带来巨大的安全隐患。

近期，华为云SA的云服务基线检查功能全面升级。它支持检测云服务（如IAM、OBS、ELB等）的身份认证、访问控制、日志审计等安全配置，可对云服务进行全面“体检”，第一时间了解云服务风险配置的所在位置和风险数目，并提供检测结果，针对存在的风险配置给出加固建议和帮助指导。帮助用户提前排除安全风险，保障云上业务的安全。

云服务基线检查是指对云服务关键配置项进行检测，通过执行扫描任务，检查基线配置的风险状态，对存在安全隐患的配置进行处置。如同人体必要的健康检查一般，云服务基线检查是企业上云的关键环节。

那么，怎么开启云上风险全面“体检”呢？如何判断云服务配置是否合规？怎样处理不合理配置？

接下来，就跟随小课的脚步，三步教您通过华为云基线检查发现云服务风险配置项，对检查结果做响应处置，轻松满足安全合规~~~

使用SA前，您需要购买SA戳这里

步骤一：设置检查计划

默认检查计划是每隔3天检查一次，每次在00:00~06:00进行检查。如果不使用默认计划，可以根据业务需求自定义检查计划。

在“基线检查”页面，单击页面右上角的“设置检查计划”，进入检查计划设置页面。

单击“创建计划”，系统右侧弹出新建检查计划页面。

在弹出的新建检查计划页面，配置检查计划并单击“确定”。

SA会在指定的时间执行云服务基线扫描，扫描结果可以在“基线检查”中查看。

步骤二：执行检查计划

检查计划设置后，系统将根据指定检查时间进行检测。同时，还支持立即执行检查计划。

立即检查所有检查规范

SA可根据您设置的检查规范，立即执行已配置的检查规范。

“立即检查”任务在10分钟内仅能执行一次。

1、在“基线检查”页面，单击页面右上角“立即检查”。

2、刷新页面，查看“最近检查时间”，即可确认是否为最新的扫描结果。

立即执行某个检查计划

SA可立即手动执行您设置的某个检查计划。配置后，系统将立即执行已选择的基线检查计划。

手动立即执行“定期自动检查计划”在10分钟内仅能执行一次。

1. 在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。
2. 在待执行立即手动检查的检查计划所在栏的上方单击“立即检查”。

系统将立即执行已选择的基线检查计划。

步骤三：查看检查结果

查看检查结果总览

检查计划执行后，稍等片刻，即可在基线检查页面查看当前区域检测到的基线检查结果汇总数据。

表1 检查结果总览

查看“检查规范”详情

• 在“基线检查”页面，默认进入“检查规范”列表页面。

检查规范页面会展示所有基线检查规范，包括检查项、检查状态、风险资源、描述，以及最近检查时间等信息。

• 单击“查看详情”，可以跳转至对应检查项的详情页面。

基线检查提供风险项检查的详情查询能力，对某个的检查项执行了检查动作后，检查状态、时间、风险等级、描述、检查过程一目了然，并且支持查看这一检查项所覆盖的资源名称、类型，检查结果等。云服务基线检查的全貌信息和细节展现都一览无余。

查看“检查资源”详情

• 在“基线检查”页面，选择“检查资源”页签。

检查资源以列表形式聚合呈现所有的风险资源结果，并按照风险等级做降级排序，高优展示风险数目多，风险等级高的云上资源，便于您查看详情，根据指导建议做及时的响应处置。

• 单击“查看详情”，可以跳转至对应资源的详情页面。

针对某一检查资源，呈现该资源下所有检查项的列表明细，您可以根据聚合后的检查项，全面查看风险检查状态，再做对应的检查或者详情查看操作。

查看“检查结果”详情

• 在“基线检查”页面，选择“检查结果”页签。

• 单击“查看详情”，可以跳转至对应检查项的检查结果详情页面。

您可查看该检查项的检查状态、最近检查时间、检查方式、风险等级、检查描述及检查过程，还有相关资料为您提供响应处置的指导建议，还可以查看这一检查项所覆盖的资源名称、资源类型等聚合明细，可针对某一资源再进行对应的检查操作。

正视云上配置不合规、不合理导致的“病情”，通过云服务基线检查“安全体检”及时排查隐患，防患于未然，治患于根本，才能轻松满足安全合规，为云上业务保驾护航！

更多关于SA的功能，戳这里进行了解吧~~

点击关注，第一时间了解华为云新鲜技术~