检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
欠费说明 用户在使用企业主机安全时,账户的可用额度小于待结算的账单,即被判定为账户欠费。欠费后,可能会影响企业主机安全资源的正常运行,请及时充值。 欠费原因 已购买企业主机安全企业版、容器版,在按需计费模式下账户的余额不足。 欠费影响 包年/包月 对于包年/包月企业主机安全资源,
据和事件流等),识别出攻击行为。 约束与限制 使用应用防护功能,服务器需开启HSS旗舰版、网页防篡改版或容器版防护。 应用防护功能仅支持防护Linux服务器的基于JDK 8的Java应用。 应用防护使用流程 图1 使用流程 表1 使用流程说明 操作项 说明 开启应用防护 为目标服务器开启应用防护,实时检测应用安全。
升级至企业版/旗舰版操作 企业主机安全的配额版本升级时目标配额版本的“使用状态”必须为“空闲”,因此,升级的操作流程取决于目标配额版本的使用状态。 使用状态为空闲 可直接在防护配额页面直接进行升级操作,操作详情请参见配额版本升级。 使用状态为使用中 需要对目标配额进行解除绑定操作,操作详情请参见解绑配额。
续费概述 续费简介 包年/包月企业主机安全到期后会影响主机安全防护效果。如果您想继续使用,需要在指定的时间内为企业主机安全续费,否则企业主机安全资源会自动释放,数据丢失且不可恢复。 续费操作仅适用于包年/包月企业主机安全,按需计费企业主机安全不需要续费,只需要保证账户余额充足即可。
节点列表 节点列表展示了所有节点的信息以及Agent状态和版本。 权限列表 权限列表展示了企业主机安全提供的容器相关功能特性,该集群是否有权限使用。CCE集群不涉及权限列表。 父主题: 容器安装与配置
使用密钥登录主机,详细操作请参见使用私钥登录Linux主机。 严格控制系统管理员账户的使用范围,为应用和中间件配置各自的权限和并严格控制使用范围。 使用安全组定义访问规则,根据业务需求对外开放端口,对于特殊业务端口,建议设置固定的来源IP(如:远程登录)或使用VPN、堡垒机建立自己的运维通道,详细操作请参见安全组规则。
企业版、旗舰版、网页防篡改版和容器版,单次购买固定的版本使用周期,费用方面比“按需”付费方式每月优惠30%,如果您长期使用,建议包周期购买。 按需:当前购买页支持选择企业版、容器版,开启防护需要在服务器列表页开启。按实际使用的时长收费,以小时为单位,每小时整点结算,不设最低消费标准。
Linux:使用SSH密码方式登录云服务器,且OpenSSH版本小于8。 Windows:使用RDP文件登录Windows云服务器。 Windows云服务器使用双因子认证功能时,不支持使用Windows系统的“用户每次登录时须更改密码”功能,如果您需要正常使用该功能,须关闭双因子认证。
本方案介绍在护网、重保期间,通过检查主机防护状态、优化防护配置、修复安全缺陷、及时处理告警四个方面的操作,有效使用企业主机安全,提升主机防护能力。具体流程如下图所示: 图1 使用流程 父主题: 护网或重保场景下HSS的应用实践
server gave HTTP response to HTTPS client”,如图 上传失败所示。 图1 上传失败 解决办法 使用如下命令,替换镜像上传命令中的“docker manifest push --insecure hub.docker.com/1/anp-agent:24
容器等保三级安全要求,容器环境需具备存储和查询K8s审计日志、容器启停、容器内执行命令行、容器镜像使用等的记录。 容器环境异常事件排查分析 当容器环境出现异常操作或活动时,可通过容器审计日志定位异常事件发生时间和行动轨迹,从而总结出解决办法。 使用说明 完全启用容器审计功能,需满足以下条件: 集群容器或非集群容器已接入HSS并开启容器版防护。
采用华为自研RASP检测应用程序行为,有效阻断攻击者通过应用程序篡改网页内容的行为;提供Tomcat应用运行时自我保护。 网页防篡改使用流程 图1 使用流程图 表2 网页防篡改使用流程说明 操作项 描述 开启网页防篡改防护 您在开启“网页防篡改版”防护时,即开启了静态网页防篡改防护和其他防护功能
代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 产品介绍 图说HSS 全景图 立即使用 成长地图 由浅入深,带您玩转HSS 01 了解 了解企业主机安全的功能特性和应用场景,有助于您更准确地选择所需版本,让您的云上业务安全无忧。
如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口;对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。 如果检测出的危险端口是业务正在使用的正常端口,您可以忽略该条告警。忽略之后将不再作为危险项进行记录,也不再发送告警。
运行。 网页防篡改 使用第三代网页防篡改技术,内核级事件触发技术,锁定用户目录下的文件后,有效阻止非法篡改行为。 篡改监测自动恢复技术,在主机本地和远端服务器上实时备份已授权的用户所修改的文件,保证备份资源的时效性。当企业主机安全检测到非法篡改行为时,将使用备份文件主动恢复被篡改的网页。
HSS实现对服务器的统一管理。 为三方Linux服务器安装Agent 复制制作Agent安装命令(Linux)制作的Linux安装命令。 使用Root账号登录目标第三方Linux服务器,粘贴并执行Linux安装命令。 界面回显如图 Agent安装完成所示,表示Agent安装完成。
务器的统一管理。 为三方Linux服务器安装Agent 复制通过代理服务器制作Agent安装命令(Linux)制作的Linux安装命令。 使用Root账号登录目标第三方Linux服务器,粘贴并执行Linux安装命令。 界面回显如图 Agent安装完成所示,表示Agent安装完成。
在企业主机安全中,防护配额是分配给主机或容器节点的防护资源,每台主机或容器节点开启防护都需要绑定一个防护配额。 以下是防护配额的一些使用限制: 防护配额不能跨区域使用。 购买防护配额时,请正确选择区域信息。不同类型主机,选择区域请参考表 防护配额区域限制。 表2 防护配额区域限制 类别 主机类型
请保证账户有足够的资金,以避免购买HSS防护配额失败。具体操作请参见账户充值。 若使用IAM用户进行操作,请确保已为IAM用户赋予“HSS FullAccess”权限。具体操作请参见创建用户并授权使用HSS。 购买HSS防护配额时,还需要为IAM用户授予“BSS Administrator”权限。
Linux支持MySQL、FTP、Redis及系统账号的弱口令检测,Windows支持系统账号的弱口令检测。 自动执行基线检查 手动执行基线检查 所有版本 使用流程 表1 使用流程 序号 操作项 说明 1 执行基线检查 基线检查功能支持自动和手动基线检查: 自动执行基线检查:企业主机安全默认每日凌晨01: