华为云企业主机安全HSS全流程对接与实战指南
华为云企业主机安全HSS全流程对接与实战指南
在云计算与混合IT架构普及的今天,服务器面临的漏洞攻击、暴力破解、勒索软件、Webshell植入等威胁呈指数级增长。企业主机安全(Host Security Service,简称HSS)是华为云推出的以工作负载为中心的安全产品,集成主机安全、容器安全与网页防篡改能力,可覆盖公有云、私有云、第三方云及线下IDC环境,帮助企业实现资产统一管理、风险实时监测与入侵快速响应,是等保合规、护网及重保场景的核心安全服务。本文将从原理、准备、安装、配置、API集成、容器接入、排错与最佳实践等维度,详细拆解HSS的对接与使用全流程,兼顾新手入门与进阶实战需求。
一、HSS核心原理与架构认知
1.1 产品定位与核心能力
HSS是面向服务器工作负载的一体化安全防护平台,核心价值在于“统一管理、主动防御、精准检测、快速响应”,核心能力包括:
- 资产管理:自动识别主机/容器的硬件信息、软件列表、端口进程、账号配置,构建全量资产台账;
- 漏洞管理:定期扫描系统漏洞、软件漏洞与弱口令,提供一键修复与风险验证能力;
- 基线检查:基于行业标准与华为最佳实践,检测配置不合规项(如开放高危端口、弱密码策略);
- 入侵检测:实时监测暴力破解、Webshell、挖矿程序、提权操作、反弹Shell等13大类入侵行为;
- 主动防御:支持IP黑白名单、应用白名单、文件完整性保护、勒索软件防护;
- 容器安全:覆盖容器镜像、集群、运行时安全,检测容器逃逸、异常进程;
- 网页防篡改:保护静态/动态网页、文档、图片不被篡改,自动恢复篡改页面。
1.2 架构与工作流程
HSS采用“云端管理+本地Agent”的分布式架构,由三部分组成:
- HSS云端防护中心:华为云侧的核心服务,负责策略下发、数据存储、AI分析、告警聚合与控制台可视化,通过HTTPS/WSS与Agent通信,默认端口10180;
- Agent客户端:安装在主机/容器节点的轻量程序(占用CPU<5%、内存<200MB),负责采集资产数据、执行扫描任务、阻断攻击行为、上报安全事件;
- 管理控制台:华为云Web控制台,提供资产查看、策略配置、告警处理、报表导出等操作入口。
工作流程可概括为:Agent安装部署→资产自动识别→安全策略配置→定期扫描+实时监控→威胁告警生成→一键处置/自动阻断→安全报表生成。Agent是HSS对接的核心,未安装或异常时,HSS无法提供防护能力。
二、对接前准备工作
2.1 账号与权限准备
使用HSS需先注册华为云账号并完成实名认证,建议通过IAM创建子账号并分配最小权限,避免主账号泄露。HSS依赖的核心权限包括:
hss:*:HSS全功能权限(管理员);hss:agent:install:Agent安装权限;hss:policy:configure:策略配置权限;hss:alert:handle:告警处理权限。
需要先登录华为云控制台,点击:华为云控制台,还没有账号,点击:注册并关联,已有账号点击:登录后关联
2.2 计费模式与版本选择
HSS提供基础版、专业版、企业版、旗舰版,支持包年包月与按需计费,新用户可免费试用基础版30天:
- 基础版:免费试用,支持资产管理、漏洞扫描、基础入侵检测;
- 专业版:付费,含基线检查、暴力破解防护、病毒查杀;
- 企业版:付费,含网页防篡改、容器安全、高级威胁检测;
- 旗舰版:付费,含AI威胁分析、7×24小时专家服务、等保合规报表。
选择版本后,在HSS控制台“资产管理→主机管理”购买防护配额,绑定对应主机即可开启防护。
2.3 环境与网络准备
Agent安装前需满足以下条件,否则会导致安装失败或通信异常:
- 操作系统支持:Linux(CentOS、Ubuntu、Debian、OpenSUSE)、Windows Server(2012/2016/2019/2022),32/64位均可;
- 磁盘空间:系统盘剩余空间≥300MB,Agent默认安装路径:Linux为
/usr/local/hostguard/,Windows为C:\Program Files\HostGuard; - 网络连通性:主机安全组出方向放通
100.125.0.0/16网段的10180端口(HSS服务端通信端口),第三方主机需确保公网可访问该网段,私网主机可通过VPCEP或代理接入; - DNS配置:优先使用华为云内网DNS(100.125.1.250、100.125.21.250),确保可解析HSS下载地址;
- 关闭冲突软件:暂时关闭同类安全软件(如杀毒软件、主机防护工具),避免端口占用或进程冲突。
三、主机Agent安装(Linux/Windows)
Agent安装是HSS对接的核心步骤,华为云主机、第三方云主机、线下IDC主机均支持安装,分为控制台一键安装与手动命令安装两种方式,以下详细说明。
3.1 Linux主机Agent安装
3.1.1 控制台一键安装(华为云ECS)
- 登录华为云控制台,进入“安全与合规→企业主机安全”,选择对应区域;
- 左侧导航栏选择“安装与配置→Agent管理”,点击“安装Agent”;
- 选择“华为云主机→Linux→64位”,复制安装命令;
- 通过SSH登录目标Linux主机(root权限),粘贴命令执行;
- 等待安装完成(约1-3分钟),执行
systemctl status hostguard查看Agent状态,显示“active(running)”即为成功。
3.1.2 手动命令安装(第三方/IDC主机)
64位Linux安装命令(直接执行):
wget --no-check-certificate 'https://obs.cn-east-3.myhuaweicloud.com/hss-agent-sh01/linux/HwAgentInstall_64.sh' && chmod +x HwAgentInstall_64.sh && ./HwAgentInstall_64.sh32位Linux安装命令:
wget --no-check-certificate 'https://obs.cn-east-3.myhuaweicloud.com/hss-agent-sh01/linux/HwAgentInstall_32.sh' && chmod +x HwAgentInstall_32.sh && ./HwAgentInstall_32.sh安装完成后验证:
# 查看Agent进程
ps aux | grep hostguard
# 查看通信端口(10180)
netstat -tuln | grep 10180
# 查看Agent日志
tail -f /usr/local/hostguard/log/hostguard.log3.2 Windows主机Agent安装
3.2.1 控制台一键安装
- 进入HSS控制台“安装与配置→Agent管理”,点击“安装Agent”;
- 选择“Windows→64位”,下载Agent安装包或复制PowerShell命令;
- 以管理员权限登录Windows主机(远程桌面或本地登录);
- 执行安装命令或双击安装包,默认路径安装,无需额外配置;
- 安装完成后,在任务管理器查看
HostGuard.exe与HostWatch.exe进程,确认运行正常。
3.2.2 批量安装(多台Windows主机)
第三方/IDC Windows主机批量安装步骤:
- 在HSS控制台下载
windows-host-list.xlsx模板,填写主机IP、管理员账号密码; - 下载批量安装脚本
BatchInstallAgent.ps1; - 将模板与脚本上传至任意一台主机(C:\Users目录);
- 以管理员权限打开PowerShell,执行:
.\BatchInstallAgent.ps1; - 脚本自动批量安装Agent,完成后控制台查看所有主机在线状态。
3.3 Agent离线安装(无公网主机)
私网/无公网主机可通过离线包安装:
- 在有公网的主机下载对应系统版本的Agent离线包;
- 通过U盘/内网传输至目标主机;
- Linux:解压后执行
./install.sh;Windows:双击安装包,管理员权限运行; - 配置代理或VPCEP,确保Agent可访问HSS服务端10180端口。
四、防护配置与核心功能启用
Agent安装并在线后,需在HSS控制台配置防护策略,开启核心功能,实现安全防护。
4.1 主机防护开启与基础配置
- 进入HSS控制台“资产管理→主机管理”,查看所有Agent在线的主机;
- 勾选目标主机,点击“开启防护”,选择对应版本配额(专业版/企业版);
- 开启后,主机状态变为“防护中”,系统自动执行首次资产扫描与漏洞检测。
4.2 漏洞管理与基线检查配置
4.2.1 漏洞扫描与修复
- 左侧导航栏选择“风险防御→漏洞管理”,查看主机漏洞列表(高危/中危/低危);
- 点击“一键扫描”,手动触发全量漏洞扫描(默认每日凌晨自动扫描);
- 高危漏洞点击“一键修复”,系统自动下载补丁并安装,修复后验证漏洞状态;
- 开启“漏洞告警”,漏洞发现后通过短信/邮件/企业微信通知管理员。
4.2.2 基线检查与合规加固
- 进入“风险防御→基线检查”,选择基线模板(如等保2.0、华为标准);
- 点击“一键检查”,检测配置不合规项(如密码复杂度、端口开放、账号权限);
- 对不合规项点击“一键加固”,系统自动修改配置(如关闭高危端口、设置密码有效期);
- 自定义基线策略,添加企业专属配置要求(如禁用Telnet、开启SSH密钥登录)。
4.3 入侵检测与主动防御配置
4.3.1 暴力破解防护
- 进入“主动防御→暴力破解防护”,开启防护开关;
- 配置拦截策略:如5分钟内登录失败≥5次,自动拉黑IP 30分钟;
- 添加IP白名单:信任IP(如办公网、运维IP)不受拦截限制;
- Windows主机需开启防火墙,HSS自动添加拦截规则;关闭防火墙仅告警不拦截。
4.3.2 Webshell与恶意程序防护
- 进入“主动防御→Webshell防护”,开启防护,配置Web目录(如
/var/www/html、C:\inetpub\wwwroot); - 开启“实时监控”,发现Webshell立即隔离并告警;
- 进入“主动防御→病毒查杀”,开启实时查杀,定期全盘扫描,隔离挖矿、勒索等恶意程序。
4.4 网页防篡改配置(企业版/旗舰版)
- 进入“主动防御→网页防篡改”,点击“添加防护服务器”,选择已开启防护的主机;
- 配置防护目录:如网站根目录、静态资源目录;
- 选择防护模式:镜像防护(自动备份文件,篡改后自动恢复)、监控告警(仅告警不恢复);
- 验证防护:模拟篡改网页,访问时自动恢复原始页面,防护事件列表记录篡改日志。
五、HSS API对接与集成开发
HSS提供RESTful API,支持通过代码调用实现资产查询、策略配置、告警处理、报表导出等功能,适配自动化运维与安全平台集成。
5.1 API调用准备
- 获取AK/SK:登录华为云控制台→IAM→用户→创建用户,勾选“编程访问”,保存AK/SK(仅显示一次);
- 获取Endpoint:HSS各区域Endpoint可在华为云官网查询,如华北-北京四:
hss.cn-north-4.myhuaweicloud.com; - 安装SDK:支持Python、Java、Go等语言,以Python为例:
pip install huaweicloudsdkhss。
5.2 常用API调用示例(Python)
5.2.1 查询主机列表
from huaweicloudsdkcore.auth.credentials import BasicCredentials
from huaweicloudsdkhss.v5.region.hss_region import HssRegion
from huaweicloudsdkhss.v5.client.hss_client import HssClient
from huaweicloudsdkhss.v5.model.list_hosts_request import ListHostsRequest
# 配置AK/SK/区域
AK = "你的AK"
SK = "你的SK"
PROJECT_ID = "你的项目ID"
credentials = BasicCredentials(AK, SK, project_id=PROJECT_ID)
client = HssClient.new_builder()\
.with_credentials(credentials)\
.with_region(HssRegion.CN_NORTH_4)\
.build()
# 查询主机列表
request = ListHostsRequest()
response = client.list_hosts(request)
# 打印主机信息
for host in response.hosts:
print(f"主机ID:{host.host_id},名称:{host.host_name},状态:{host.status}")
5.2.2 开启主机防护
from huaweicloudsdkhss.v5.model.enable_host_protection_request import EnableHostProtectionRequest
# 开启防护请求
request = EnableHostProtectionRequest(
host_ids=["主机ID"],
version="enterprise" # 版本:professional/enterprise/ultimate
)
response = client.enable_host_protection(request)
print(f"开启防护结果:{response}")
5.2.3 查询告警列表
from huaweicloudsdkhss.v5.model.list_alerts_request import ListAlertsRequest
# 查询告警
request = ListAlertsRequest(limit=10) # 查询最新10条告警
response = client.list_alerts(request)
for alert in response.alerts:
print(f"告警ID:{alert.alert_id},类型:{alert.alert_type},级别:{alert.severity}")
5.3 API集成最佳实践
- AK/SK安全存储:禁止硬编码,使用环境变量或加密配置文件;
- 权限最小化:API调用用户仅分配必要权限(如仅查询、不修改);
- 异常处理:添加重试机制(网络波动)、异常捕获(参数错误、权限不足);
- 频率控制:避免高频调用API,遵循华为云API限流规则。
六、容器安全接入(Docker/Containerd)
HSS支持容器安全防护,覆盖Docker、Containerd、CRI-O、Podman等运行时,接入方式分为华为云CCE集群与第三方/自建集群。
6.1 CCE集群一键接入
- 进入HSS控制台“安装与配置→容器安装与配置”;
- 选择“CCE集群”,点击“安装容器Agent”;
- 选择目标集群、节点,点击“确定”,自动在所有节点安装Agent;
- 安装完成后,在“容器安全→资产列表”查看集群、镜像、容器信息。
6.2 第三方/自建集群接入(私网)
- 准备kubeconfig文件:自建集群生成管理员kubeconfig,配置API访问权限;
- 进入HSS控制台“容器安装与配置→非CCE集群(私网接入)”;
- 上传kubeconfig文件,选择Context、有效期;
- 配置镜像仓地址,生成安装命令;
- 在集群节点执行命令,安装容器Agent;
- 接入完成后,检测容器镜像漏洞、运行时异常、逃逸行为。
七、常见问题排查与Agent维护
7.1 Agent离线/不在线排查
- 网络问题:检查安全组是否放通10180端口,主机是否可访问
100.125.0.0/16网段; - 进程异常:Linux执行
systemctl restart hostguard,Windows重启HostGuard服务; - 日志报错:查看日志
/usr/local/hostguard/log/hostguard.log,定位证书过期、DNS解析失败等问题; - 版本过低:控制台提示升级时,执行一键升级命令,避免版本不兼容。
7.2 Agent卸载
Linux卸载:
systemctl stop hostguard
/usr/local/hostguard/uninstall.shWindows卸载:
- 以管理员权限运行
C:\Program Files\HostGuard\unins000.exe; - 按提示完成卸载,开启网页防篡改时需重启主机。
八、HSS安全最佳实践
- 权限最小化:使用IAM子账号管理HSS,禁止主账号日常操作,Agent仅开放必要端口;
- 全量资产覆盖:所有主机(云主机/IDC/第三方)均安装Agent,避免防护盲区;
- 定期漏洞修复:高危漏洞24小时内修复,中低危漏洞定期批量修复;
- 开启自保护:启用HSS自保护功能,防止恶意程序卸载Agent、停止进程、篡改文件;
- 告警闭环处理:配置告警通知,每条告警及时处置,定期复盘高频告警;
- 等保合规适配:使用等保2.0基线模板,定期生成合规报表,满足三级等保要求;
- 联动WAF/云审计:HSS检测到Web攻击时联动WAF拦截,通过云审计记录所有操作,便于溯源。
九、常见问答
Q1:HSS Agent会占用大量系统资源吗?
A1:不会。Agent为轻量级程序,正常运行时CPU占用<5%、内存占用<200MB,仅在扫描时短暂升高,不影响业务运行。
Q2:第三方云主机/线下IDC主机可以接入HSS吗?
A2:可以。HSS支持所有符合网络要求的主机,通过公网、专线或VPN接入,安装Agent后即可享受与华为云主机一致的防护能力。
Q3:HSS可以防护勒索软件吗?
A3:可以。HSS具备勒索软件专项防护能力,通过行为分析检测勒索程序,自动隔离进程,同时支持文件备份与恢复,降低勒索损失。
Q4:Agent安装后无法在线,最常见原因是什么?
A4:最常见原因是网络不通,即主机安全组未放通10180端口,或无法访问100.125.0.0/16网段,其次是DNS配置错误导致无法解析HSS服务端地址。
Q5:HSS支持自动修复所有漏洞吗?
A5:HSS支持一键修复主流系统漏洞与软件漏洞,但部分特殊漏洞(如自定义软件漏洞、内核高危漏洞)需手动修复,修复前建议备份系统与数据。
Q6:开启网页防篡改后,网站访问会变慢吗?
A6:不会。网页防篡改采用镜像备份与内存缓存技术,正常访问时直接返回缓存页面,仅在检测到篡改时触发恢复,对访问速度无明显影响。
