云安全中心将展示您云上资产面向互联网暴露端口服务的整体状态,帮助您进行日常的暴露面管理。该功能包含了暴露面详情与扫描结果,数据来源于暴露统计与安全体检。
暴露面详情:通过分析云上资产关联关系(如 CLB/CDN 绑定关系等),绘制资产面向互联网暴露的路径,同时结合资产状态、安全组策略,得到资产面向互联网的开放状态。
扫描结果:通过安全体检对您的公网资产进行扫描,获取开放的端口服务、Web 服务,并检查存在的高危端口、风险页面、漏洞、弱口令等风险。
前提条件
暴露面开放状态
云安全中心,将根据资产的属性、关联关系、访问控制状态等梳理云暴露面。根据网络状态分为:
网络状态 | 详情 |
完全开放 | 互联网所有地址均可访问该端口。 |
受限访问 | 云资源设置了访问控制,仅白名单里地址可访问该端口。 |
无法访问 | 云资源状态异常或关机,因此无法被访问。 |
示例:您的负载均衡资产(IP:1.1.1.1)创建了80端口的监听器,监听器的后端服务是两台云服务器。以下不同情况对应不同的开放状态:
负载均衡的安全组开放了允许0.0.0.0/0访问80端口,两台云服务器均处于正常运行状态。
IP | 端口 | 开放状态 |
1.1.1.1 | 80 | 完全开放 |
负载均衡的安全组开放了允许2.2.2.0/24访问80端口,两台云服务器均处于正常运行状态。
IP | 端口 | 开放状态 |
1.1.1.1 | 80 | 受限访问(白名单:2.2.2.0/24) |
负载均衡的安全组开放了允许0.0.0.0/0访问80端口,两台云服务器均处于关机状态。
IP | 端口 | 开放状态 |
1.1.1.1 | 80 | 无法访问 |
说明:
实际上,决定公网暴露状态的因素还包括负载均衡状态、监听器状态、以及云服务器安全组是否允许负载均衡的访问。这些可能的影响因素都被视为判断开放状态的条件。
查看数据
1. 登录 云安全中心控制台,在左侧导览中,单击云暴露面。
2. 在云暴露页面,支持查看统计面板、数据详情,其中统计面板包含暴露统计和扫描结果统计。
数据详情的数据内容如下表:
主标题 | 二级标题 | 功能简介 |
互联网暴露面 | 暴露面列表 | 展示云资产互联网暴露面台账,每个暴露面关联扫描结果,以便您查询面向互联网的资源的状况。 |
| 暴露路径 | 根据输入的资产信息以树状图的形式该资产所有面向互联网暴露的路径。 |
扫描结果 | 端口服务 | 展示扫描发现的互联网端口及服务信息。 |
| Web服务 | 展示扫描发现的 Web 服务及组件信息。 |
| 漏洞风险 | 展示扫描发现的漏洞。 |
| 弱口令风险 | 展示扫描发现的弱口令。 |
3. 在云暴露面页面,单击暴露统计,即可触发暴露面的统计。
安全体检
对互联网地址进行扫描,并将结果与云暴露面的资产进行关联。涉及的体检项目:端口风险、风险服务暴露、漏洞风险、弱口令风险。
1. 登录 云安全中心控制台,在左侧导览中,单击云暴露面。
2. 在云暴露面页面,单击安全体检,弹出对话框进行扫描。若需要了解安全体检的详细内容,可访问文档。
3. 云暴露面功能需要使用到的体检项目:端口风险、风险服务暴露、漏洞风险、弱口令风险。页面默认勾选了这四个选项。请阅读体检许可协议后,勾选两个确认框后,单击确定即可发起体检。
支持的云产品实例类型
目前,云暴露面已支持以下类型的云产品实例:
云厂商 | 产品名称 | 实例类型 |
腾讯云 | 云服务器 | 云服务器 |
| 轻量应用服务器 | 轻量应用服务器 |
| 内容分发网络 CDN | 内容分发网络 CDN |
| 负载均衡 | 负载均衡 |
| 弹性公网 IP | 微服务引擎 Zookeeper 服务 |
| 弹性网卡 | 弹性网卡 |
| NAT 网关 | NAT 网关 |
| Elasticsearch Service | Elasticsearch Service |
| Web 应用防火墙 | Web 应用防火墙 |
