全部產品
Search
文件中心

Security Center:什麼是雲平台配置檢查

更新時間:Sep 14, 2024

雲產品配置錯誤或操作不當可能會導致雲產品被攻擊,為此,您可以使用Security Center提供的雲平台配置檢查功能,從多維度檢測雲產品的配置問題和安全風險,降低因配置錯誤導致的風險,提升雲產品安全性。本文介紹雲平台配置檢查功能及其計費方式。

功能介紹

檢查雲產品配置

從CIEM、安全風險和合規風險維度檢測雲產品的配置問題和安全風險,並根據不同的風險等級進行資料統計展示,方便您瞭解雲產品的配置風險概況。

檢查規則說明

CIEM、安全風險和合規風險維度詳細介紹,請參見下表。

檢測維度

說明

CIEM

雲基礎設施授權管理CIEM(Cloud Infrastructure Entitlements Management)是一種集合了雲安全評估技術和授權管理的服務,用於管理和控制雲平台的使用和存取權限。

Security Center基於CIEM技術對雲平台進行身份許可權管理,支援檢測使用者帳號是否存在過度授權、密碼到期等問題,協助您及時發現並解決授權管理方面的問題,提高雲平台的安全性和可靠性。

安全風險

最佳安全實踐是雲廠商在多年的安全實踐中總結出來的一系列安全措施和方法,旨在最大限度地保護使用者的資料和業務安全。

Security Center基於不同雲廠商的最佳安全實踐,通過對業務系統的安全配置、代碼漏洞、日誌配置等進行檢測,找出雲平台可能存在的安全配置風險,確保您的資料和業務得到最大的保護。

合規風險

國際通用安全最佳實務(Center for Internet Security)標準是由國際通用安全最佳實務開發的一系列資訊安全相關標準,是國際公認的保護IT系統和資料免受網路攻擊的安全標準。

Security Center基於國際通用安全最佳實務標準,支援對雲平台進行全面的合規風險檢測和管理,識別出不符合國際通用安全最佳實務標準的風險配置,方便您及時修複,從而提高雲產品的網路安全性,降低網路攻擊風險。

支援接入的雲產品

Security Center支援接入阿里雲和第三方雲平台(例如騰訊雲和AWS)的產品,按照上述檢測規則檢查雲產品配置。您可以在Security Center控制台查看支援接入和檢查的具體雲產品。具體內容,請參見查看支援接入的雲產品

修複雲產品配置風險

Security Center針對每個風險項,為您提供相應的最佳化建議和修複方案,協助您更好地管理雲資源和保障業務運行安全。

Security Center提供100+條檢查項的一鍵修複功能,可在Security Center控制台直接修複對應雲產品執行個體的檢查項配置。每成功修複一次一個執行個體的一個風險項,消耗一次雲產品配置檢查的剩餘授權數

計費說明

計費規則

雲平台配置檢查按每個雲產品執行個體的每個檢查項的授權次數收費,計費公式為:雲平台配置檢查費用=售賣價格*授權數。

  • 售賣價格:不同計費模式,售賣價格不同。具體內容,請參見下文的計費方式

  • 授權數:根據每個雲產品執行個體執行每個檢查項掃描、驗證和修複成功的次數計算。

    授權數=掃描次數+驗證次數+修複成功的次數

    “執行個體”指一個特定的網路裝置或應用程式執行個體,例如Object Storage Service中的Bucket、ECS伺服器的安全性群組等。

    如何查看雲產品的執行個體個數

    您可以在Security Center控制台的資產 > 雲產品頁面,查看當前阿里雲帳號下的執行個體個數,如下圖所示。

    image.png

    開通雲平台配置檢查後,您每次執行雲平台配置檢查掃描時,均會計算掃描次數。每次掃描任務的總掃描次數=掃描的執行個體總數*選中的檢查項個數

    例如,您一共有10個雲產品,每款雲產品中包含15個執行個體,在某次掃描任務中,您一共選擇了5個檢查項(每個執行個體均執行5個檢查項掃描),則該次掃描任務總掃描次數=10*15*5=750次。

計費方式

雲平台配置檢查服務支援免費使用、訂用帳戶模式(預付費模式)和隨用隨付模式(後付費模式)。免費使用僅提供部分檢查項掃描,付費模式支援全部檢查項掃描。

重要
  • 在同一時間內,同一阿里雲帳號只能選擇一種計費方式。

    例如,如果您已經開通了雲平台配置檢查訂用帳戶,則需要等服務到期或者降配關閉雲平台配置檢查功能後,才能開通雲平台配置檢查隨用隨付。詳細內容,請參見下文訂用帳戶轉隨用隨付

  • 選擇隨用隨付訂用帳戶方式,開通雲平台配置檢查功能的全部檢查項(包括免費使用的檢查項計費使用的檢查項)後,當您執行雲平台配置檢查時:

    • 對於免費使用的檢查項,雲平台配置檢查的掃描次數驗證次數不消耗雲產品配置檢查的授權數,不進行計費。對於風險項修複成功的次數,消耗雲產品配置檢查的授權數進行計費。

    • 對於計費使用的檢查項,Security Center會根據您選擇的每個雲產品執行個體的每個檢查項按次計費。

免費使用

免費使用僅提供部分檢查項的檢測,不限制雲平台配置檢查的掃描次數驗證次數。如果需要使用修複功能,則要開通隨用隨付或訂用帳戶方式。

說明

免費使用時,具體支援檢測的檢查項,請以Security Center控制台的風險治理 > 配置評估頁面顯示為準。

  • 對於未開通隨用隨付且未購買過雲平台配置檢查掃描次數的使用者,Security Center預設提供70+條檢查項供免費使用。

  • 如果您在2023年07月07日之前已經授權了雲平台配置檢查,按照您購買的Security Center版本,您可以免費使用以下數量的雲平台配置檢查項,直到Security Center服務到期。如果您在Security Center服務到期之前完成續約,您仍可以繼續免費使用以下檢查項。

    • 免費版防病毒版:70+條。

    • 進階版:90+條。

    • 企業版旗艦版:250+條。

雲平台配置檢查項會持續更新,如果您希望使用更多的檢查項,您可以選擇隨用隨付訂用帳戶方式,開通雲平台配置檢查功能的全部檢查項。具體操作,請參見授權並開通服務。開通全部檢查項後,歷史掃描資料會保留,並且您可以查看全部檢查項以及自訂選擇需要掃描的檢查項。

訂用帳戶

  • 預付費用為:售賣價格*授權數(購買的雲平台配置檢查掃描次數*購買時間長度(按Security Center服務的購買時間長度計算)

    購買的雲平台配置檢查掃描次數

    價格(美元/次/月)

    0~100,000

    0.0009

    100,001~500,000

    0.00069

    大於500,000

    0.000625

  • 抵扣規則:購買的雲平台配置檢查掃描次數(1.5萬次起售,步長為5.5萬次)作為雲平台配置檢查的剩餘授權數,每次執行雲平台配置檢查掃描、驗證、修複時,會根據計算的掃描次數、驗證次數、修複成功次數消耗剩餘授權數

    說明

    如果在某次掃描任務中,您已購買的掃描授權數不夠抵扣,則超過授權數的檢查項掃描、驗證和修複將不會執行。您可以通過任務掃描結果查看任務的執行情況。

隨用隨付

  • 按量費用為:售賣價格*授權數(當日雲平台配置檢查的掃描次數、驗證次數和修複成功次數的總和)。

    按照使用的雲平台配置檢查授權數採用階梯模式以自然日為單位計費。

    使用的雲平台配置檢查授權數

    價格(美元/次)

    0~100,000

    0.0009

    100,001~500,000

    0.0007

    大於500,000

    0.00045

  • 如需查看雲平台配置檢查的賬單,請參見明細賬單

授權並開通服務

首次使用雲平台配置檢查功能時,您需要先授權允許Security Center訪問雲資源。

  1. 授權服務。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇風險治理 > 配置評估

    3. 首次使用雲平台配置檢查時,需要在配置評估頁面,單擊去授權

      授權後,Security Center將自動建立服務關聯角色AliyunServiceRoleForSasCspm,允許Security Center訪問和編輯該帳號下的雲產品配置,使用該許可權從身份認證、網路存取控制、資料安全、日誌審計、基礎安全防護五個維度為您提供安全配置實踐,降低因雲產品配置錯誤導致的風險。關於AliyunServiceRoleForSasCspm角色的更多資訊,請參見Security Center服務關聯角色

  2. 選擇付費模式開通服務。

    隨用隨付模式

    1. 完成授權後,在配置評估頁面,單擊立即開通

    2. 在彈出的開通Security Center隨用隨付版對話方塊中,仔細閱讀使用者協議後選中我已閱讀並同意Security Center(隨用隨付)使用者協議,然後單擊立即開通

    開通完成後,您可以在配置評估 > 配置檢查頁面,查看雲平台配置檢查已使用的掃描授權數。

    關閉隨用隨付

    您可以在雲平台配置檢查已使用授權數地區,單擊停止使用,關閉雲平台配置檢查隨用隨付。

    說明

    關閉隨用隨付後,才可開通訂用帳戶計費。

    訂用帳戶模式

    訪問Security Center購買頁,購買雲平台配置檢查掃描次數和時間長度。具體操作,請參見購買Security Center

    說明

    建議您按照執行個體個數的20倍購買雲平台配置檢查掃描次數,以免出現掃描次數不足需要重新掃描的情況。例如,您一共有10個雲產品,每款雲產品中包含15個執行個體,此時,建議您購買的掃描次數=10*15*20=3000次。

    開通完成後,您可以在配置評估 > 配置檢查頁面,查看雲平台配置檢查的剩餘授權數

    擴容、降配或續約

    如果剩餘授權數不足或Security Center執行個體到期,無法再執行檢查策略,您可以單擊擴容,在訂單升級頁簽購買更多授權數或續約。您也可以根據業務實際需求,在訂單降配頁簽降低授權數。

    訂用帳戶轉隨用隨付

    以訂用帳戶方式購買雲平台配置檢查掃描次數後,無法直接將雲平台配置檢查掃描次數轉化成隨用隨付。您可以先將Security Center執行個體降配或退款,再開通隨用隨付模式。

    • 申請降配,請參見降配

    • 申請退訂已購買的Security Center執行個體,請提交工單

使用流程

  1. 接入雲產品:查看支援接入和檢查的雲產品,將需要檢測的雲產品接入Security Center,支援接入阿里雲產品和第三方雲產品。

  2. 使用雲平台配置檢查:設定檢查策略、查看雲平台配置檢查結果、處理檢查後的風險項。