如何选购体检配额?
为降低资产安全风险,建议每月进行4次自动检测和1次手动全面检测,请根据您的云上资产数量计算购买的资产体检数。
计算消耗体检配额公式
一次安全体检中,选定1个域名、1个 IP 资产分别消耗1个体检配额,共计2个体检配额;若选定云资源配置风险体检项目时,消耗的体检配额为已勾选的云资源数。
安全体检是否会影响业务运行?
不会,安全体检模拟真实用户的访问,同时有精准的速率控制,不会影响业务的正常运转。
安全体检能支持多少企业 IT 资产的扫描?
安全体检依托腾讯云的计算能力,能够做到快速扩容,支持对千万级 IT 资产的扫描。
体检时间过长是否有异常?
安全体检任务如涉及检测 Web 网站,需要根据您的授权利用爬取技术对您指定的 URL进行内容识别分析,并且执行体检过快容易给业务带来影响,因此体检时间较慢为正常现象。
体检任务被中止后是否还有报告生成?
若安全体检任务被中止则不生成报告,但风险中心中存在已被检测出的风险,可以根据报告 ID 查询到已发现的风险。
体检任务异常是否会消耗体检、占用任务配额?
若安全体检任务无法执行,则占用任务配额但不消耗体检配额;若安全体检任务开始执行,则执行时立即消耗体检配额并占用任务配额。
安全体检有哪些扫描 IP?
安全体检通过公网模拟黑客入侵(无害的攻击)的方式进行安全扫描。如果您的服务器有相关防护措施或者限制了访问的 IP,为保证扫描的正常进行,建议您将以下 IP 地址加到白名单。
安全扫描节点 IP 为:
129.211.162.110
129.211.162.87
129.211.163.253
129.211.164.19
129.211.166.123
129.211.167.182
129.211.167.200
129.211.167.70
129.211.162.158
129.211.162.23
129.211.166.134
129.211.167.108
129.211.167.181
129.211.166.142
129.211.166.163
129.211.167.128
129.211.167.166
43.139.244.231
43.139.243.246
除了主机和容器之外,配置风险检测还包括哪些云资源的配置检测项?
检查项名称 | 检查类型 | 检查对象 | 风险等级 | 所属规范 | 配置风险说明 |
TDSQL MySQL 版不应该开放公网访问 | 数据安全 | tdmysql | 中危 | 默认安全规范 | 数据库直接面向公网暴露,可能导致数据库中的敏感数据泄露,安全风险较高;本检查项会检查TDSQL MySQL 版,如果启用了公网访问,则不满足要求。 |
网络 ACL 不应存在全部放通的入站规则 | 网络访问控制 | subnet | 高危 | 默认安全规范 | 网络 ACL 是子网粒度的访问控制攻击,如使用全部放通的入站规则,即:入站方向源为0.0.0.0/0,动作为允许的规则,则可能导致该子网开放范围过大,资产产生非必要暴露,本检查项会检查网络 ACL 服务入站规则,如存在来源地址为0.0.0.0/0,端口为所有,动作为允许的规则,则不满足要求。 |
网络 ACL 不建议存在非业务端口全部放通的入站规则 | 网络访问控制 | subnet | 高危 | 默认安全规范 | 网络 ACL 是子网粒度的访问控制攻击,如使用非业务外(默认:80,443)全部放通的入站规则,即:入站方向源为0.0.0.0/0,端口为80/443以外的端口,动作为允许的规则,则可能导致该子网开放范围过大,资产产生非必要暴露;本检查项会检查网络 ACL 服务入站规则,不应该存在来源地址为0.0.0.0/0,端口为所有或者为非业务端口(默认:80,443),动作为允许的规则。 |
SSL 证书应在有效期内 | 数据安全 | ssl | 中危 | 默认安全规范 | 检查 SSL 证书是否超出有效期,证书到期前需及时续费或更换新证书,否则您将无法继续使用 SSL 证书服务,导致数据安全风险,目前检查范围为全部 SSL 证书,您需要根据证书是否关联资源、域名是否还需使用判断是否应修复或删除不再使用的证书。 |
镜像仓库权限应合理设置 | 数据安全 | repository | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 仓库分为公有仓库和私有仓库。 公有仓库可以允许所有互联网中用户进行访问和下载镜像。 如果镜像内部有敏感信息,建议配置成私有仓库,防止信息的泄漏。 |
云数据库 Redis 应该禁用高危命令 | 数据安全 | redis | 中危 | 默认安全规范 | 数据库往往安全保护级别较高,若未禁用高危命令(默认:flushall、flushdb、keys、hgetall、eval、evalsha、script),容易出现应用阻塞,数据误删等风险;本检查项会检查 Redis 实例禁用命令配置,若高危命令未禁用(默认包括:flushall、flushdb、keys、hgetall、eval、evalsha、script ),则不符合要求。 |
Nosql 数据库-Redis 应该开启自动备份 | 数据安全 | redis | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 判定 Redis 数据库的备份功能是否异常,正常情况下,数据应该至少每天备份一次。 |
Nosql 数据库-Redis 不应该对全部网段开放 | 网络访问控制 | redis | 高危 | 默认安全规范,网络安全等级保护三级技术要求 | 判定 Redis 数据库的服务端口是否对全IP开放访问,正常情况下,数据库服务端口应该只针对可信 IP 或范围开放。 |
Nosql-Redis 应该位于
中国大陆 region | 基础设施位置 | redis | 低危 | 网络安全等级保护三级技术要求 | 等保2.0中8.2.1.1要求应保证云计算基础设施位于中国大陆。 |
云数据库 PostgreSQL 数据库不建议对公网开放访问 | 网络访问控制 | postgres | 高危 | 默认安全规范 | 数据库直接面向公网暴露,可能导致数据库中的敏感数据泄露,安全风险较高。 |
关系型数据库- PostgreSQL 应该启用备份 | 数据安全 | postgres | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 判定 PostgreSQL 数据库的备份功能是否异常,正常情况下,数据应该至少每天备份一次。 |
关系型数据库- PostgreSQL 数据库应该位于中国大陆 region | 基础设施位置 | postgres | 低危 | 网络安全等级保护三级技术要求 | 等保2.0中8.2.1.1要求应保证云计算基础设施位于中国大陆。 |
Nosql-MongoDB 应该位于中国大陆 region | 基础设施位置 | mongodb | 低危 | 网络安全等级保护三级技术要求 | 等保2.0中8.2.1.1要求应保证云计算基础设施位于中国大陆。 |
云数据库 MariaDB 应该限制高危命令使用 | 数据安全 | mariadb | 中危 | 默认安全规范 | 数据库往往安全保护级别较高,若所有账号都拥有全局命令权限 drop、delete,容易出现数据误删除或恶意删除风险,本检查项会检查MariaDB,如果所有用户都未禁止 drop、delete命令,则不满足要求。 |
云数据库 MariaDB 数据库不建议对公网开放访问 | 网络访问控制 | mariadb | 高危 | 默认安全规范 | 数据库直接面向公网暴露,可能导致数据库中的敏感数据泄露,安全风险较高。 |
云数据库 MariaDB 不应对全部网段开启访问 | 网络访问控制 | mariadb | 高危 | 默认安全规范 | 云数据库如果对全部网段开启访问,则增大了该数据库的攻击面,增加了数据库被攻击、数据泄露的风险。 |
关系型数据库-MariaDB 应该启用备份 | 数据安全 | mariadb | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 判定 MariaDB 数据库的备份功能是否异常,正常情况下,数据应该至少每天备份一次。 |
关系型数据库-MariaDB数据库应该位于中国大陆 region | 基础设施位置 | mariadb | 低危 | 网络安全等级保护三级技术要求 | 等保2.0中8.2.1.1要求应保证云计算基础设施位于中国大陆。 |
Elasticsearch 集群不应该开放公网访问 | 数据安全 | es | 高危 | 默认安全规范 | Elasticsearch 集群往往存储数据,如开放公网访问,则可能导致不必要的攻击面暴露,产生数据完整性、机密性、可用性风险。 |
Elasticsearch 集群的 Kibana 组件不应该开放公网访问 | 数据安全 | es | 高危 | 默认安全规范 | Elasticsearch 集群往往存储数据,可以通过 Kibana 组件进行数据访问与命令控制,如开放公网访问,则可能导致不必要的攻击面暴露,产生数据完整性、机密性、可用性风险。 |
安全组不应放通全部网段任何端口 | 网络访问控制 | cvm | 高危 | 默认安全规范,网络安全等级保护三级技术要求 | 安全组是一种虚拟防火墙,建议根据最小粒度原则,配置防火墙策略。添加服务端口的可信 IP 白名单访问。 |
CVM 应该位于中国大陆 region | 基础设施位置 | cvm | 中危 | 网络安全等级保护三级技术要求 | 等保2.0中8.2.1.1要求应保证云计算基础设施位于中国大陆。 |
CVM 应使用密钥对登录 | 身份认证及权限 | cvm | 中危 | 默认安全规范 | 检查 CVM 是否利用 SSH 密钥进行登录,相对于传统的密码登录,SSH 密钥登录方式更为方便,且安全性更高。(仅检查 Linux 系统机器) |
CVM 上的主机安全代理应正常运行 | 基础安全防护 | cvm | 高危 | 默认安全规范,网络安全等级保护三级技术要求 | 腾讯云主机安全提供木马查杀、密码破解拦截、登录行为审计、漏洞管理、资产组件识别等多种安全功能。未安装主机安全客户端会面临网络安全,数据泄露的风险。 |
COS 存储桶建议开启存储桶复制 | 数据安全 | cos | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 跨地域复制是针对存储桶的一项配置,通过配置跨地域复制规则,可以在不同存储区域的存储桶中自动、异步地复制增量对象。启用跨地域复制后,COS 将精确复制源存储桶中的对象内容(如对象元数据和版本 ID 等)到目标存储桶中,复制的对象副本拥有完全一致的属性信息。此外,源存储桶中对于对象的操作,如添加对象、删除对象等操作,也将被复制到目标存储桶中。建议进行跨区域复制以提升您的数据容灾能力。 |
COS 存储桶应配置合理的桶策略 | 数据安全 | cos | 高危 | 默认安全规范,网络安全等级保护三级技术要求 | 存储桶策略是指在存储桶中配置的访问策略,允许指定用户对存储桶及桶内的资源进行指定的操作。应依据“最小化权限”原则来配置,不推荐对任意用户开放读取操作权限,有遍历文件名或文件被下载的风险。 |
COS 存储桶应该位于
中国大陆 region | 基础设施位置 | cos | 低危 | 网络安全等级保护三级技术要求 | 等保2.0中8.2.1.1要求应保证云计算基础设施位于中国大陆。 |
COS 存储桶应开启防盗链功能 | 数据安全 | cos | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 为了避免恶意程序使用资源 URL 盗刷公网流量或使用恶意手法盗用资源,给您带来不必要的损失。建议您通过控制台的防盗链设置配置黑/白名单,对存储对象进行安全防护。 |
COS 存储桶应开启服务端加密 | 数据安全 | cos | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 存储桶支持在对象级别上应用数据加密的保护策略,并在访问数据时自动解密。加密和解密这一操作过程都是在服务端完成,这种服务端加密功能可以有效保护静态数据。建议您对敏感数据类型开启此项配置。 |
COS 存储桶应开启日志记录 | 数据安全 | cos | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 日志管理功能能够记录对于指定源存储桶的详细访问信息,并将这些信息以日志文件的形式保存在指定的存储桶中,以实现对存储桶更好的管理。日志管理功能要求源存储桶与目标存储桶必须在同一地域,目前支持北京、上海、广州、成都地域。如果所在区域支持日志管理功能,建议开启此项功能。 |
COS 存储桶 ACL 公共权限不应该设置为公共读写 | 数据安全 | cos | 高危 | 默认安全规范,网络安全等级保护三级技术要求 | 存储桶的公有读和公有写权限可以通过匿名身份直接读取和写入存储桶中的数据,存在一定的安全风险。为确保您的数据安全,不推荐将存储桶权限设置为公有读写或公有读私有写,建议您选择私有读写权限。 |
CLB 绑定的证书应该在有效期内 | 监控告警 | clb | 中危 | 默认安全规范 | 检查同 CLB 绑定的证书是否过期,如果过期则需要进行替换,以免影响业务正常使用。 |
CLB 后端服务器组的健康检查状态应保持正常 | 监控告警 | clb | 低危 | 默认安全规范 | 检测负载均衡 CLB 服务的健康状态,用以判定 CLB 的后端服务是否异常。 |
CLB 不应转发高危端口 | 网络访问控制 | clb | 高危 | 默认安全规范,网络安全等级保护三级技术要求 | 应依据“最小服务”原则来设定 CLB 转发策略,只对必要的公共服务端口(如:80、443等)做转发,其他端口不应该进行转发。 |
CLB 不应对全部网段开启非业务端口访问 | 网络访问控制 | clb | 高危 | 默认安全规范,网络安全等级保护三级技术要求 | 检查 CLB 负载均衡实例访问控制配置,对非业务端口开放0.0.0.0/0存在潜在的安全风险,建议对非 http/https 服务启用访问控制。 |
云数据库 MySQL 应该开启数据库审计 | 数据安全 | cdb | 中危 | 默认安全规范 | 数据库往往存储重要性较高数据,若不开启数据库审计,如发生误操作、恶意操作等问题,难以回溯,发现源头,本检查项会检查 MySQL 数据库是否开启了数据库审计,如果没有开启,则不符合要求。 |
云数据库 MySQL 网络类型应使用私有网络 | 数据安全 | cdb | 中危 | 默认安全规范 | 私有网络可基于租户需求,进行不同网络间隔离,数据库往往存储重要性较高的数据,如使用非私有网络,需要维护较为精确的访问控制规则,如果漏维护、错维护,则可能会导致您的数据库产生不必要的暴露,本检查项会检查 MySQL 数据库类型,如果为私有网络,则满足要求,否则不满足。 |
云数据库 MySQL 数据库应该为管理员账户设置密码 | 网络访问控制 | cdb | 高危 | 默认安全规范 | 云数据库 MySQL 是数据库服务,如您未对数据库管理员配置账号密码,则该数据库可能被恶意登录,导致数据泄露。 |
云数据库 MySQL 数据库应该创建非 root 用户使用 | 数据安全 | cdb | 中危 | 默认安全规范 | 数据库往往存储重要性较高数据,而数据库若只存在 root 账号,没有其他应用账号,说明权限过大,存在误操作或恶意操作影响数据安全的风险,本检查项会检查 MySQL 已经完成初始化的主实例数据库用户列表,如果除了 root 用户以及腾讯云默认创建的 mysql.*以外没有其他用户,则不符合要求。 |
云数据库 MySQL 数据库实例应在不同可用区进行部署 | 数据安全 | cdb | 低危 | 默认安全规范 | 云数据库 MySQL 提供多种高可用的架构,选择主备可用区不同时(即多可用区部署),可保护数据库以防发生故障或可用区中断,本检查项会检查 MySQL 数据库,同一个数据库主备实例如果在同一个区域同一个可用区内,则不满足要求。 |
云数据库 MySQL 数据库审计保留时间应满足要求 | 数据安全 | cdb | 中危 | 默认安全规范 | 数据库往往存储重要性较高数据,基于合规要求,数据库审计日志至少应保留6个月及以上,本检查项会检查 MySQL 数据库审计保留时间,如果保留时间小于审计时间(默认180天),则不符合要求。 |
云数据库 MySQL 数据库建议限制非 root 用户高危命令权限 | 数据安全 | cdb | 中危 | 默认安全规范 | 数据库非 root 账号应该进行权限控制,若应用账号拥有高危命令权限,如 drop、delete 等,容易出现数据误删除或恶意删除风险,本检查项会检查Mysql数据库(检查主实例,不检查只读实例和灾备实例),检查 root 用户以外用户的配置,如果配置中允许执行命令:drop,delete,则不满足,对于不存在非 root 用户的实例,本检查项满足,采用其他检查项进行合规检查。 |
云数据库 MySQL 数据库不建议对公网开放访问 | 网络访问控制 | cdb | 高危 | 默认安全规范 | 云数据库 MySQL 是数据库服务,数据库直接面向公网暴露,可能导致数据库中的敏感数据泄露,安全风险较高。 |
关系型数据库-MySQL 应该启用备份 | 数据安全 | cdb | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 判定 MySQL 数据库的备份功能是否异常,正常情况下,数据应该至少每天备份一次。 |
关系型数据库-MySQL 数据库应该位于中国大陆 region | 基础设施位置 | cdb | 低危 | 网络安全等级保护三级技术要求 | 等保2.0中8.2.1.1要求应保证云计算基础设施位于中国大陆。 |
关系型数据库-MySQL 不应该对全部网段开放 | 网络访问控制 | cdb | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 判定 MySQL 数据库的服务端口是否对全 IP 开放访问,正常情况下,数据库服务端口应该只针对可信 IP 或范围开放。 |
CBS 数据盘应该设置为加密盘 | 数据安全 | cbs | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 检查云硬盘的数据盘是否为加密盘。加密盘不仅可以提供更好的数据保密性,同时也可以满足安全合规等要求。(仅支持检查非系统盘) |
CBS 应开启定期快照功能 | 数据安全 | cbs | 中危 | 默认安全规范,网络安全等级保护三级技术要求 | 检查云硬盘是否开启了自动定期快照的功能。定期创建快照,可以提高数据的安全性,实现业务的低成本和高容灾。 |
子账号应使用 MFA 进行登录保护 | 基础安全防护 | cam | 中危 | 默认安全规范 | 子账号未绑定 MFA 设备,则在登录保护或操作保护中无法使用 MFA 进行二次验证,存在风险,本检查项会检查子账号,是否绑定了 MFA 设备,如果没有绑定,则不满足要求。 |
子账号应使用 MFA 进行操作保护 | 基础安全防护 | cam | 中危 | 默认安全规范 | 子账号未绑定 MFA 设备,则在登录保护或操作保护中无法使用 MFA 进行二次验证,存在风险,本检查项会检查子账号,是否绑定了 MFA 设备,如果没有绑定,则不满足要求。 |
子账号密码应定期更换 | 基础安全防护 | cam | 中危 | 默认安全规范 | 子账号密码是用户访问的主要凭据,长期(90天)不更换密码,会导致密码泄露的可能性增加。本检查项涉及的账号信息同步可能存在延时,建议检查间隔4小时以上。 |
应删除废弃的子账号 | 基础安全防护 | cam | 高危 | 默认安全规范 | 子账号长期(30天)不登录使用,可能该账户已经被废弃,废弃账户可能被不再属于您组织的成员使用,导致您的资产不可用或数据泄露。 |
应该删除子账号废弃的 API 密钥 | 基础安全防护 | cam | 高危 | 默认安全规范 | 子账号 API 密钥长期(30天)不使用,可能该 API密钥已经被废弃,废弃 API 密钥可能被不再属于您组织的成员使用,导致您的资产不可用或数据泄露。本检查项涉及的账号信息同步可能存在延时,建议检查间隔4小时以上。 |
应该删除废弃的协作者 API 密钥 | 基础安全防护 | cam | 高危 | 默认安全规范 | 协作者的 API 密钥长期(30天)不使用,可能该 API 密钥已经被废弃,废弃 API 密钥可能被不再属于您组织的成员使用,导致您的资产不可用或数据泄露。本检查项涉及的账号信息同步可能存在延时,建议检查间隔4小时以上。 |
应该定期更换子账号的 API 密钥 | 基础安全防护 | cam | 中危 | 默认安全规范 | 子账号 API 密钥是编程访问的主要凭据,长期(90天)不更换密钥,会导致密钥泄露的可能性增加。本检查项涉及的账号信息同步可能存在延时,建议检查间隔4小时以上。 |
应定期更换协作者的 API 密钥 | 基础安全防护 | cam | 中危 | 默认安全规范 | 协作者 API 密钥是编程访问的主要凭据,长期(90天)不更换密钥,会导致密钥泄露的可能性增加。本检查项涉及的账号信息同步可能存在延时,建议检查间隔4小时以上。 |
协作者应使用 MFA 进行登录保护 | 基础安全防护 | cam | 中危 | 默认安全规范 | 协作者未绑定 MFA 设备,则在登录保护或操作保护中无法使用 MFA 进行二次验证,存在风险;本检查项会检查协作者,是否绑定了 MFA 设备,如果没有绑定,则不满足要求。 |
协作者应使用 MFA 进行操作保护 | 基础安全防护 | cam | 中危 | 默认安全规范 | 协作者未绑定 MFA 设备,则在登录保护或操作保护中无法使用 MFA 进行二次验证,存在风险;本检查项会检查协作者,是否绑定了 MFA 设备,如果没有绑定,则不满足要求。 |
协作者应开启登录保护 | 基础安全防护 | cam | 中危 | 默认安全规范 | 协作者账号不归属于您的账号管控体系中,账号安全风险不可控,如协作者账号泄露,可能会导致该协作者有权限的资产被破坏或者数据泄露,开启登录保护后,对协作者登录进行二次校验,降低协作者账号泄露导致的风险。 |
协作者应开启操作保护 | 基础安全防护 | cam | 中危 | 默认安全规范 | 协作者账号不归属于您的账号管控体系中,账号安全风险不可控,如协作者账号泄露,可能会导致该协作者有权限的资产被破坏或者数据泄露,开启操作保护后,对协作者敏感操作进行二次校验,降低协作者账号泄露导致的风险。 |
协作者不应该同时使用编程访问与用户界面访问 | 基础安全防护 | cam | 高危 | 默认安全规范 | 协作者账号具备两种访问方式,如同时开启,则可能导致一个账号的暴露面增加,且可能导致机器账号与人工账号混用,增加账号被恶意使用的可能性。本检查项涉及的账号信息同步可能存在延时,建议检查间隔4小时以上。 |
具备高风险权限的协作者应开启登录保护 | 基础安全防护 | cam | 高危 | 默认安全规范 | 协作者账号不归属于您的账号管控体系中,账号安全风险不可控,且高权限协作者具有超级管理员权限,如协作者账号泄露,您的云上资产会面临非常高的安全风险,开启登录保护后,对协作者登录进行二次校验,降低协作者账号泄露导致的风险。 |
具备高风险权限的协作者应开启操作保护 | 基础安全防护 | cam | 高危 | 默认安全规范 | 协作者账号不归属于您的账号管控体系中,账号安全风险不可控,且高权限协作者具有超级管理员权限,如协作者账号泄露,您的云上资产会面临非常高的安全风险,开启操作保护后,对协作者敏感操作进行二次校验,降低协作者账号泄露导致的风险。 |
建议子账号的 API 密钥不超过1个 | 基础安全防护 | cam | 低危 | 默认安全规范 | 一个子账号维护多个 AP I密钥,会增大密钥的暴露面,增加密钥泄露的风险。本检查项涉及的账号信息同步可能存在延时,建议检查间隔4小时以上。 |
高风险权限子账号应该开启登录保护 | 基础安全防护 | cam | 高危 | 默认安全规范 | 高权限子账号具备超级管理员权限,如果高风险子账号被恶意登录,您云上的资产会面临非常高的风险,登录保护为您的子账号提供账号登录的二次校验,降低高风险子账号被恶意登录的可能性。 |
高风险权限子账号应该开启操作保护 | 基础安全防护 | cam | 中危 | 默认安全规范 | 高权限子账号具有超级管理员的权限,主账号误操作或被盗用后恶意操作,可能会影响您云上的所有资产,操作保护为您的敏感操作提供二次校验,降低误操作或恶意操作的风险。 |
高风险权限子账号不建议启用 API 密钥 | 基础安全防护 | cam | 低危 | 默认安全规范 | 高权限子账号具有超级管理员的权限,而 API 密钥是账号编程访问的身份凭证,通常会被写入配置中,易泄露,如果 API 密钥泄露,攻击者可利用该密钥操控您在云上的所有资产,风险较高。本检查项涉及的账号信息同步可能存在延时,建议检查间隔4小时以上。 |
不能同时为子账号开启编程访问与用户界面访问 | 基础安全防护 | cam | 中危 | 默认安全规范 | 子账号具备两种访问方式,如同时开启,则可能导致一个账号的暴露面增加,且可能导致机器账号与人工账号混用,增加账号被恶意使用的可能性。本检查项涉及的账号信息同步可能存在延时,建议检查间隔4小时以上。 |
主账号应使用 MFA 进行登录保护 | 基础安全防护 | account | 中危 | 默认安全规范 | 主账号默认拥有账号下腾讯云所有资源,具有超级管理员的权限,如果主账号被盗用,您的云资产会面临非常高的安全风险,MFA(Multi-Factor Authentication)即多因子认证,是一种简单有效的安全认证方法,它可以在用户名和密码之外,再增加一层保护,登录保护可使用腾讯云虚拟 MFA 设备,降低主账号被恶意登录的可能性。 |
主账号应使用 MFA 进行操作保护 | 基础安全防护 | account | 中危 | 默认安全规范 | 主账号默认拥有账号下腾讯云所有资源,具有超级管理员的权限,主账号误操作或被盗用后恶意操作,可能会影响您云上的所有资产,MFA(Multi-Factor Authentication)即多因子认证,是一种简单有效的安全认证方法,它可以在用户名和密码之外,再增加一层保护,操作保护中启用虚拟 MFA,可为您的敏感操作提供二次校验,降低误操作或恶意操作的风险。 |
主账号应开启登录保护 | 基础安全防护 | account | 高危 | 默认安全规范 | 主账号默认拥有账号下腾讯云所有资源,具有超级管理员的权限,如果主账号被盗用,您的云资产会面临非常高的安全风险,登录保护为您的账号登录提供二次校验,降低主账号被恶意登录的可能性。 |
主账号应开启操作保护 | 基础安全防护 | account | 中危 | 默认安全规范 | 主账号默认拥有账号下腾讯云所有资源,具有超级管理员的权限,主账号误操作或被盗用后恶意操作,可能会影响您云上的所有资产,操作保护为您的敏感操作提供二次校验,降低误操作或恶意操作的风险。 |
主账号建议开启异地登录保护 | 基础安全防护 | account | 低危 | 默认安全规范 | 主账号默认拥有账号下腾讯云所有资源,具有超级管理员的权限,如果主账号被盗用,您的云资产会面临非常高的安全风险,异地登录保护为您的账号登录提供登录地校验,如发现异地登录,则会进行二次校验,降低主账号被恶意登录的可能性。 |
主账号不应该启用 API 密钥 | 基础安全防护 | account | 高危 | 默认安全规范 | 主账号默认拥有账号下腾讯云所有资源,具有超级管理员的权限,而 API 密钥是账号编程访问的身份凭证,通常会被写入配置中,易泄露,如果API 密钥泄露,攻击者可利用该密钥操控您在云上的所有资产,风险较高。本检查项涉及的账号信息同步可能存在延时,建议检查间隔4小时以上。 |
