雲產品配置錯誤或操作不當可能會導致雲產品被攻擊,為此,您可以使用Security Center提供的雲安全態勢管理功能,從多維度檢測雲產品的配置問題和安全風險,降低因配置錯誤導致的風險,提升雲產品安全性。本文介紹雲安全態勢管理功能及其計費方式。
功能介紹
檢查雲產品配置
從CIEM、安全風險和合規風險維度檢測雲產品的配置問題和安全風險,並根據不同的風險等級進行資料統計展示,方便您瞭解雲產品的配置風險概況。
檢查規則說明
CIEM、安全風險和合規風險維度詳細介紹,請參見下表。
檢查項類目下支援檢測的具體檢查項,請以Security Center控制台的
頁面顯示為準。檢測維度 | 檢查項類目 | 說明 |
CIEM | AWS身份許可權管理:IAM身份認證、IAM許可權管理。 |
|
騰訊雲身份許可權管理:CAM身份認證、CAM許可權管理。 | ||
阿里雲身份許可權管理:RAM身份認、IDAAS、RAM許可權管理。 | ||
安全風險 | 阿里雲最佳安全實踐:安全、NoSQL資料庫、儲存、彈性計算、關係型資料庫、資料倉儲、容器與中介軟體、網路、巨量資料、DevOps與治理、資料庫管理工具。 |
|
AWS最佳安全實踐:計算、資料庫、分析、儲存、連網和內容分發、容器。 | ||
Azure最佳安全實踐:網路、計算、容器、儲存、資料庫、安全、監視器。 | ||
騰訊雲最佳安全實踐:網路、關係型資料庫、NoSQL資料庫、儲存、容器和中介軟體、巨量資料、安全、計算。 | ||
合規風險 | 國際通用安全最佳實務:阿里雲平台基準、AWS平台基準。 |
|
PCI資料安全標準:阿里雲平台PCI DSS。 |
| |
等級保護2.0標準:阿里雲平台等保三級。 |
| |
ISO國際標準:阿里雲平台ISO 27001。 |
|
支援接入的雲產品
Security Center支援接入阿里雲和第三方雲平台(騰訊雲、Azure和AWS)的產品,按照上述檢測規則檢查雲產品配置。您可以在Security Center控制台查看支援接入和檢查的具體雲產品。具體內容,請參見查看支援接入的雲產品。
評定風險等級
雲安全態勢管理功能主要根據風險類型的危害程度以及應用情境進行分級。
風險等級 | 說明 | 修複 |
高危 | 增加入侵風險或者風險暴露的屬於高危風險項,包括管理連接埠或者重要服務暴露、來源站點繞過、憑據泄露、未授權訪問、認證繞過以及特權帳號未禁用等。 | 建議緊急修複。 |
中危 | 高危風險之外的重要檢查項,能降低配置弱點被攻擊風險和明顯增加資料安全效果的風險項。 | 建議結合實際情況及時修複或處置。 |
低危 | 中危和高危以外的檢查項,例如日誌審計、安全治理提醒等。 | 可忽略或者有需要(例如合規要求)再修複。 |
修複雲產品配置風險
Security Center針對每個風險項,為您提供相應的最佳化建議和修複方案,協助您更好地管理雲資源和保障業務運行安全。
手動修複:您需要根據檢查結果的威脅影響和處置方案議,在雲產品側確認風險影響後執行修複操作。
一鍵修複:Security Center提供100+條檢查項的一鍵修複功能,可在Security Center控制台直接修複對應雲產品執行個體的檢查項配置。
您可以在Security Center控制台查看支援在Security Center一鍵修複的風險項。具體內容,請參見查看雲安全態勢管理結果。
每成功修複一次一個執行個體的一個風險項,消耗一次雲安全態勢管理的剩餘授權數。
計費說明
計費規則
雲安全態勢管理按每個雲產品執行個體的每個檢查項的授權次數收費,計費公式為:雲安全態勢管理費用=售賣價格*授權數。
售賣價格:不同計費模式,售賣價格不同。具體內容,請參見下文的計費方式。
授權數:根據每個雲產品執行個體執行每個檢查項掃描、驗證和修複成功的次數計算。
授權數=掃描次數+驗證次數+修複成功的次數。
“執行個體”指一個特定的網路裝置或應用程式執行個體,例如Object Storage Service中的Bucket、ECS伺服器的安全性群組等。
開通雲安全態勢管理後,您每次執行雲安全態勢管理的檢查項掃描時,均會計算掃描次數。每次掃描任務的總掃描次數=掃描的執行個體總數*選中的檢查項個數。
例如,您一共有10個雲產品,每款雲產品中包含15個執行個體,在某次掃描任務中,您一共選擇了5個檢查項(每個執行個體均執行5個檢查項掃描),則該次掃描任務總掃描次數=10*15*5=750次。
計費方式
雲安全態勢管理服務支援免費使用、訂用帳戶模式(預付費模式)和隨用隨付模式(後付費模式)。免費使用僅提供部分檢查項掃描,付費模式支援全部檢查項掃描。
在同一時間內,同一阿里雲帳號只能選擇一種計費方式。
例如,如果您已經開通了雲安全態勢管理組件年包月,則需要等服務到期或者降配關閉雲安全態勢管理功能後,才能開通雲安全態勢管理隨用隨付。詳細內容,請參見下文訂用帳戶轉隨用隨付。
對於雲安全態勢管理的訂用帳戶和隨用隨付的計費方式,防病毒版、進階版、企業版和旗艦版的計費邏輯相同。
選擇隨用隨付或訂用帳戶方式,開通雲安全態勢管理功能的全部檢查項(包括免費使用的檢查項和計費使用的檢查項)後,當您執行雲安全態勢管理的檢查時:
對於免費使用的檢查項,雲安全態勢管理的掃描次數和驗證次數,不消耗雲安全態勢管理的授權數,不進行計費。對於風險項修複成功的次數,會消耗雲安全態勢管理的授權數進行計費。
對於計費使用的檢查項,Security Center會根據您選擇的每個雲產品執行個體的每個檢查項按次計費。
免費使用
免費使用僅提供部分檢查項的檢測,不限制雲安全態勢管理的掃描次數和驗證次數。如果需要使用修複功能,則要開通隨用隨付或訂用帳戶方式。
免費使用時,具體支援檢測的檢查項,請以Security Center控制台的
頁面顯示為準。對於未開通隨用隨付且未購買過雲安全態勢管理掃描次數的使用者,Security Center預設提供70+條檢查項供免費使用。
如果您在2023年07月07日之前已經授權了雲安全態勢管理,按照您購買的Security Center版本,您可以免費使用以下數量的雲安全態勢管理的檢查項,直到Security Center服務到期。如果您在Security Center服務到期之前完成續約,您仍可以繼續免費使用以下數量的檢查項。
免費版、防病毒版:70+條。
進階版:90+條。
企業版、旗艦版:250+條。
雲安全態勢管理的檢查項會持續更新,如果您希望使用更多的檢查項,您可以選擇隨用隨付或訂用帳戶方式,開通雲安全態勢管理功能的全部檢查項。具體操作,請參見授權並開通服務。開通全部檢查項後,歷史掃描資料會保留,並且您可以查看全部檢查項以及自訂選擇需要掃描的檢查項。
訂用帳戶
預付費用為:售賣價格*授權數(購買的雲安全態勢管理掃描次數)*購買時間長度(按Security Center服務的購買時間長度計算)。
購買的雲安全態勢管理掃描次數
價格(美元/次/月)
0~100,000
0.0009
100,001~500,000
0.00069
大於500,000
0.000625
抵扣規則:購買的雲安全態勢管理掃描次數(1.5萬次起售,步長為5.5萬次)作為雲安全態勢管理的剩餘授權數,每次執行雲安全態勢管理的檢查項掃描、驗證、修複時,會根據計算的掃描次數、驗證次數、修複成功次數消耗剩餘授權數。
說明如果在某次掃描任務中,您已購買的掃描授權數不夠抵扣,則超過授權數的檢查項掃描、驗證和修複將不會執行。您可以通過任務掃描結果查看任務的執行情況。
隨用隨付
按量費用為:售賣價格*授權數(當日雲安全態勢管理的掃描次數、驗證次數和修複成功次數的總和)。
按照使用的雲安全態勢管理授權數採用階梯模式以自然日為單位計費。
使用的雲安全態勢管理授權數
價格(美元/次)
0~100,000
0.0009
100,001~500,000
0.0007
大於500,000
0.00045
如需查看雲安全態勢管理的賬單,請參見明細賬單。
授權並開通服務
首次使用雲安全態勢管理功能時,您需要先授權允許Security Center訪問雲資源。
授權服務。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇 。
首次使用雲安全態勢管理時,需要在雲安全態勢管理頁面,單擊去授權。
授權後,Security Center將自動建立服務關聯角色AliyunServiceRoleForSasCspm,允許Security Center訪問和編輯該帳號下的雲產品配置,使用該許可權從身份認證、網路存取控制、資料安全、日誌審計、基礎安全防護五個維度為您提供安全配置實踐,降低因雲產品配置錯誤導致的風險。關於AliyunServiceRoleForSasCspm角色的更多資訊,請參見Security Center服務關聯角色。
選擇付費模式開通服務。
隨用隨付模式
訂用帳戶模式