RonMercier/cloud-security-checklist
GitHub: RonMercier/cloud-security-checklist
一份面向云基础设施和小型企业的实用安全检查清单,提供可操作措施和自动化审计工具以加固安全防护。
Stars: 0 | Forks: 0
# 云安全清单
**一份实用的、由工程师构建的云基础设施、小型企业和自托管环境安全检查清单。**
大多数安全检查清单是由合规团队为合规团队编写的。这份则不同。它由一名云与网络安全工程师构建,他目睹了一台全新服务器在上线24小时内、甚至在任何链接发布之前就遭到机器人探测。此清单上的每一项都是因为真实的攻击利用了它所覆盖的漏洞而存在的。
## 涵盖内容
6个类别共28项可操作项目——为运行真实基础设施的真实人员编写,而非企业合规官员。
| # | 类别 | 项目 | 重点 |
|---|---|---|---|
| 1 | 身份与访问 | 5 | MFA、密码管理器、凭证卫生 |
| 2 | 电子邮件与网络钓鱼防御 | 4 | SPF/DKIM/DMARC、AI网络钓鱼意识 |
| 3 | 设备与更新 | 5 | 补丁管理、EDR、加密、EOL系统 |
| 4 | 备份与恢复 | 4 | 3-2-1规则、不可变备份、恢复测试 |
| 5 | 网络与云 | 4 | 防火墙、公开的存储、凭证文件暴露 |
| 6 | 人员与流程 | 5 | 事件响应、暗网监控、供应商风险 |
## 优先顺序——如果您从零开始
```
TIER 1 — Do these today (stops the majority of attacks)
[x] Enable MFA everywhere
[x] Get a password manager — eliminate reuse
[x] Set up automated, tested backups (3-2-1 rule)
TIER 2 — Do these this week
[x] Configure SPF + DKIM + DMARC on your domain
[x] Enable automatic OS and app updates
[x] Verify cloud storage is not publicly exposed
[x] Confirm no credential files are web-accessible
TIER 3 — Do these this month
[x] Enable disk encryption on all laptops
[x] Write a one-page incident response plan
[x] Review and disable unused / old accounts
[x] Retire any end-of-life systems
TIER 4 — Quarterly
[x] Test restore from backup (not just the backup — the restore)
[x] Run a 30-minute tabletop incident exercise
[x] Review vendor and third-party access
[x] Check dark web for leaked credentials
```
## 完整检查清单
### 1. 身份与访问
*被盗凭证是攻击者入侵的首要途径。*
- [ ] **[关键] 电子邮件、银行、云平台和所有管理员账户已启用 MFA**
- 使用身份验证器应用或硬件密钥。短信可通过 SIM 卡交换被绕过。
- [ ] **[关键] 使用密码管理器** — 任何两个账户之间密码不重复
- 如果您能记住它,那它可能不够强。
- [ ] **路由器、物联网设备和任何新硬件的默认凭据已更改**
- 出厂默认值是公开记录的。连接前请更改。
- [ ] **已应用最小权限访问** — 人员只能访问其角色所需的系统
- 受限账户 = 被入侵时影响范围受限。
- [ ] **已禁用旧的和未使用的账户** — 尤其是前员工和承包商
- 离职员工在离职当天应失去访问权限。
### 2. 电子邮件与网络钓鱼防御
*人工智能已消除了拼写错误这一破绽。现代网络钓鱼与真实电子邮件无法区分。*
- [ ] **高级垃圾邮件和威胁过滤已激活** — 超越您服务商的默认设置
- [ ] **[关键] 您的域名已配置 SPF、DKIM 和 DMARC**
- 没有 DMARC,任何人都可以发送看起来来自您域名的电子邮件。
- 在此处验证:https://mxtoolbox.com/dmarc.aspx
- [ ] **团队已培训识别危险信号** — 紧急性、意外附件、仿冒域名
- 每年进行一次网络钓鱼模拟。失败的人需要培训,而非责备。
- [ ] **[关键] 任何汇款前均通过带外渠道核实财务请求** — 打电话确认
- 商业电子邮件入侵每年造成数十亿美元损失。30秒的电话可以预防它。
### 3. 设备与更新
*从“CVE 公开”到“漏洞被野外利用”的窗口期是数天,而非数月。*
- [ ] **[关键] 操作系统、浏览器和应用程序已启用自动更新**
- 自动化消除了人为单点故障。每月检查日志。
- [ ] **每台设备都安装了现代端点防护 (EDR)** — 而不仅仅是杀毒软件
- EDR 监视行为。传统杀毒软件匹配列表。差异至关重要。
- [ ] **[关键] 已退役生命周期结束系统** — 不受支持的软件 = 未打补丁的 CVE
- 升级或隔离。运行 EOL 软件就像一个未打补丁的 CVE 工厂。
- [ ] **笔记本电脑和移动设备已开启磁盘加密** (BitLocker, FileVault)
- 被盗的加密笔记本电脑是块砖头。未加密的则是一次泄露。
- [ ] **所有工作设备在短暂空闲后自动锁定屏幕**
### 4. 备份与恢复
*您从未测试过的备份不是备份——它是希望。*
- [ ] **[关键] 遵循 3-2-1 规则**
- 3 份副本 · 2 种存储类型 · 1 份异地或离线
- 云同步(Dropbox、OneDrive)不算数——勒索软件也会加密它。
- [ ] **[关键] 备份按计划自动运行** — 不依赖人工记忆
- 手动备份流程会静默失败。自动化并设置未运行时的警报。
- [ ] **[关键] 至少一份副本是离线或不可变的** — 勒索软件无法加密它
- 带版本控制和保留锁的对象存储,或物理断开的介质。
- [ ] **[关键] 在过去 90 天内执行过恢复测试并验证有效**
- 测试恢复,而非备份。测试的是恢复。
### 5. 网络与云
*大多数云泄露都源于一个配置错误的存储桶或 Web 根目录下的 .env 文件。*
- [ ] **企业级防火墙,采用默认拒绝规则集**
- 默认拒绝:除非明确允许,否则全部阻止。
- [ ] **Wi-Fi 使用 WPA2/WPA3**,且访客流量与内部系统隔离
- [ ] **[关键] 云存储未公开暴露** — 存储桶、驱动器、共享已锁定
- 验证:AWS S3 阻止公共访问 · Azure 私有访问 · GCP 统一访问
- 检查您的存储是否已暴露:https://buckets.grayhatwarfare.com
- [ ] **[关键] 无可凭据/配置文件可通过 Web 访问**
- .env · .aws/credentials · config.json · secrets.json · 数据库转储
- 测试:尝试从浏览器访问这些路径。404 = 安全。其他任何结果 = 立即修复。
- 参见:[securebydefault-server-hardening](https://github.com/RonMercier/securebydefault-server-hardening) 获取阻止这些路径的 Nginx 配置。
### 6. 人员与流程
*攻击者以人员为目标,因为这比攻破配置良好的技术更容易。*
- [ ] **安全意识培训持续进行** — 定期提醒,而非每年一次会议
- 年度培训是安全剧场。每月5分钟的提醒效果高10倍。
- [ ] **[关键] 存在书面事件响应计划**
- 联系谁 · 如何隔离 · 如何恢复
- 存储在网站宕机时仍可访问的地方。
- [ ] **每年至少演练一次响应计划** (桌面推演)
- 30分钟演练:“假设勒索软件攻击了主服务器——我们该怎么做?”
- [ ] **针对公司电子邮件和凭据启用暗网监控**
- 免费检查:https://haveibeenpwned.com
- [ ] **每季度审查供应商和第三方访问权限**
- 每个 OAuth 授权、每个承包商凭据、每个 API 密钥都是一个潜在的入口点。
## 2026 威胁背景
| 统计 | 来源 |
|---|---|
| 现今 94% 的在线登录是自动化机器人 | Cloudflare 2026 |
| 99% 的自动化攻击被 MFA 阻止 | Microsoft Security |
| AI 网络钓鱼现在与合法电子邮件无法区分 | Proofpoint 2026 |
| 事件发生时若无 MFA + 备份,网络保险将被拒绝 | 行业标准 |
| 新服务器在上线 24 小时内就被探测——在任何链接发布之前 | [此处记录](https://securebydefault.io/blog/server-attacked-24-hours-live/) |
## 运行审计脚本
包含一个用于 Linux/macOS 系统的 bash 脚本,可自动检查多个项目:
```
chmod +x scripts/audit.sh
sudo ./scripts/audit.sh
```
此脚本检查:MFA 相关配置、开放端口、SSH 加固、UFW 状态、自动更新配置以及常见的暴露路径。
## 相关资源
- [securebydefault-server-hardening](https://github.com/RonMercier/securebydefault-server-hardening) — Nginx、UFW、Fail2Ban 和 SSH 加固配置
- [SecureByDefault.io](https://securebydefault.io) — 真实攻击分析和网络安全指南
- [The SecureByDefault Brief](https://newsletter.securebydefault.io) — 每周通讯,每周一个实用教训
- [免费 PDF 版本](https://securebydefault.io/checklist.pdf) — 可打印的格式化检查清单
## 许可证
MIT 许可证 — 自由使用、改编、分享。感谢署名但非必须。
## 关于作者
**Ron Mercier** — 云与网络安全工程师
此前:在 Akamai Technologies 负责 DDoS 缓解和事件响应
理学硕士网络安全 · CySA+ · PenTest+ · ISC2 CC · AWS CCP
*"安全不是关于无法被击败,而是关于成为比下一个目标更麻烦的选择。"*
标签:Cutter, GPT, meg, 云基础设施, 人工智能安全, 代码分析, 供应商风险, 信息安全, 免费安全工具, 内存分配, 凭证管理, 合规性, 备份恢复, 多因素认证, 威胁防御, 存储安全, 安全最佳实践, 安全检查清单, 小企业安全, 应用安全, 数据加密, 暗网监控, 漏洞管理, 电子邮件安全, 网络安全, 网络防火墙, 自动更新, 自托管环境, 设备管理, 身份访问管理, 钓鱼防御, 隐私保护