全部產品
Search
文件中心

Security Center:雲安全態勢管理概述

更新時間:Dec 19, 2024

雲產品配置錯誤或操作不當可能會導致雲產品被攻擊,為此,您可以使用Security Center提供的雲安全態勢管理功能,從多維度檢測雲產品的配置問題和安全風險,降低因配置錯誤導致的風險,提升雲產品安全性。本文介紹雲安全態勢管理功能及其計費方式。

功能介紹

檢查雲產品配置

從CIEM、安全風險和合規風險維度檢測雲產品的配置問題和安全風險,並根據不同的風險等級進行資料統計展示,方便您瞭解雲產品的配置風險概況。

檢查規則說明

CIEM、安全風險和合規風險維度詳細介紹,請參見下表。

重要

檢查項類目下支援檢測的具體檢查項,請以Security Center控制台的風險治理 > 雲安全態勢管理頁面顯示為準。

檢測維度

檢查項類目

說明

CIEM

AWS身份許可權管理:IAM身份認證、IAM許可權管理。

  • 雲基礎設施授權管理CIEM(Cloud Infrastructure Entitlements Management)是一種集合了雲安全評估技術和授權管理的服務,用於管理和控制雲平台的使用和存取權限。

  • Security Center基於CIEM技術對雲平台進行身份許可權管理,支援檢測使用者帳號是否存在過度授權、密碼到期等問題,協助您及時發現並解決授權管理方面的問題,提高雲平台的安全性和可靠性。

騰訊雲身份許可權管理:CAM身份認證、CAM許可權管理。

阿里雲身份許可權管理:RAM身份認、IDAAS、RAM許可權管理。

安全風險

阿里雲最佳安全實踐:安全、NoSQL資料庫、儲存、彈性計算、關係型資料庫、資料倉儲、容器與中介軟體、網路、巨量資料、DevOps與治理、資料庫管理工具。

  • 最佳安全實踐是雲廠商在多年的安全實踐中總結出來的一系列安全措施和方法,旨在最大限度地保護使用者的資料和業務安全。

  • Security Center基於不同雲廠商的最佳安全實踐,通過對業務系統的安全配置、代碼漏洞、日誌配置等進行檢測,找出雲平台可能存在的安全配置風險,確保您的資料和業務得到最大的保護。

AWS最佳安全實踐:計算、資料庫、分析、儲存、連網和內容分發、容器。

Azure最佳安全實踐:網路、計算、容器、儲存、資料庫、安全、監視器。

騰訊雲最佳安全實踐:網路、關係型資料庫、NoSQL資料庫、儲存、容器和中介軟體、巨量資料、安全、計算。

合規風險

國際通用安全最佳實務:阿里雲平台基準、AWS平台基準。

  • 國際通用安全最佳實務(Center for Internet Security)標準是由國際通用安全最佳實務開發的一系列資訊安全相關標準,是國際公認的保護IT系統和資料免受網路攻擊的安全標準。

  • Security Center基於國際通用安全最佳實務標準,支援對雲平台進行全面的合規風險檢測和管理,識別出不符合國際通用安全最佳實務標準的風險配置,方便您及時修複,從而提高雲產品的網路安全性,降低網路攻擊風險。

PCI資料安全標準:阿里雲平台PCI DSS。

  • PCI DSS(Payment Card Industry Data Security Standard,支付卡行業資料安全標準)是一套旨在支援並增強持卡人資訊安全、促進全球範圍內一致採用的資料安全措施。該標準覆蓋了資訊安全管理體系、網路安全防護、物理安全保障以及資料加密等多個方面,設定了全面的安全基準要求。

  • Security Center基於PCI DSS提供了一系列的安全檢測服務,支援對雲平台的網路安全配置、潛在漏洞、存取控制措施、日誌審計追蹤、加密傳輸和惡意軟體防護等進行檢測評估和管理,旨在協助企業滿足PCI DSS的要求並保護其支付卡資訊的安全。

等級保護2.0標準:阿里雲平台等保三級。

  • 2019年12月01日起,網路安全等級保護基本要求(GB/T 22239-2019資訊安全技術)等系列標準正式實施,落實網路安全等級保護制度是每個企業和單位的基本義務和責任。

  • Security Center在確保雲平台自身滿足基本要求的基礎上,提供了等保合規檢查功能,支援對網路安全配置、主機安全的漏洞管理以及資料安全管理等進行全面的安全檢測,協助您更快速、高效和持續地落實網路安全等級保護制度,提升雲上業務系統的安全防護能力。

ISO國際標準:阿里雲平台ISO 27001。

  • ISO 27001是國際資訊安全管理體系的認證標準。企業通過ISO 27001認證,表示國際權威組織認可企業的資訊安全體系,證明企業有能力為客戶提供安全可靠的資訊服務。

  • Security CenterISO 27001合規檢測可以檢測企業資產的系統是否符合ISO 27001認證的要求,例如資產管理、存取控制、密碼學、操作安全等,進而對企業的資訊資產進行全面的風險評估,識別潛在的安全威脅與脆弱性,並給出相應的風險處理建議,協助企業通過ISO 27001認證。

支援接入的雲產品

Security Center支援接入阿里雲和第三方雲平台(騰訊雲、Azure和AWS)的產品,按照上述檢測規則檢查雲產品配置。您可以在Security Center控制台查看支援接入和檢查的具體雲產品。具體內容,請參見查看支援接入的雲產品

評定風險等級

雲安全態勢管理功能主要根據風險類型的危害程度以及應用情境進行分級。

風險等級

說明

修複

高危

增加入侵風險或者風險暴露的屬於高危風險項,包括管理連接埠或者重要服務暴露、來源站點繞過、憑據泄露、未授權訪問、認證繞過以及特權帳號未禁用等。

建議緊急修複。

中危

高危風險之外的重要檢查項,能降低配置弱點被攻擊風險和明顯增加資料安全效果的風險項。

建議結合實際情況及時修複或處置。

低危

中危和高危以外的檢查項,例如日誌審計、安全治理提醒等。

可忽略或者有需要(例如合規要求)再修複。

修複雲產品配置風險

Security Center針對每個風險項,為您提供相應的最佳化建議和修複方案,協助您更好地管理雲資源和保障業務運行安全。

  • 手動修複:您需要根據檢查結果的威脅影響和處置方案議,在雲產品側確認風險影響後執行修複操作。

  • 一鍵修複:Security Center提供100+條檢查項的一鍵修複功能,可在Security Center控制台直接修複對應雲產品執行個體的檢查項配置。

    您可以在Security Center控制台查看支援在Security Center一鍵修複的風險項。具體內容,請參見查看雲安全態勢管理結果

    每成功修複一次一個執行個體的一個風險項,消耗一次雲安全態勢管理的剩餘授權數

計費說明

計費規則

雲安全態勢管理按每個雲產品執行個體的每個檢查項的授權次數收費,計費公式為:雲安全態勢管理費用=售賣價格*授權數。

  • 售賣價格:不同計費模式,售賣價格不同。具體內容,請參見下文的計費方式

  • 授權數:根據每個雲產品執行個體執行每個檢查項掃描、驗證和修複成功的次數計算。

    授權數=掃描次數+驗證次數+修複成功的次數

    “執行個體”指一個特定的網路裝置或應用程式執行個體,例如Object Storage Service中的Bucket、ECS伺服器的安全性群組等。

    如何查看雲產品的執行個體個數

    您可以在Security Center控制台的資產 > 雲產品頁面,查看當前阿里雲帳號下的執行個體個數,如下圖所示。

    image.png

    開通雲安全態勢管理後,您每次執行雲安全態勢管理的檢查項掃描時,均會計算掃描次數。每次掃描任務的總掃描次數=掃描的執行個體總數*選中的檢查項個數

    例如,您一共有10個雲產品,每款雲產品中包含15個執行個體,在某次掃描任務中,您一共選擇了5個檢查項(每個執行個體均執行5個檢查項掃描),則該次掃描任務總掃描次數=10*15*5=750次。

計費方式

雲安全態勢管理服務支援免費使用、訂用帳戶模式(預付費模式)和隨用隨付模式(後付費模式)。免費使用僅提供部分檢查項掃描,付費模式支援全部檢查項掃描。

重要
  • 在同一時間內,同一阿里雲帳號只能選擇一種計費方式。

    例如,如果您已經開通了雲安全態勢管理組件年包月,則需要等服務到期或者降配關閉雲安全態勢管理功能後,才能開通雲安全態勢管理隨用隨付。詳細內容,請參見下文訂用帳戶轉隨用隨付

  • 對於雲安全態勢管理的訂用帳戶隨用隨付的計費方式,防病毒版進階版企業版旗艦版的計費邏輯相同。

  • 選擇隨用隨付訂用帳戶方式,開通雲安全態勢管理功能的全部檢查項(包括免費使用的檢查項計費使用的檢查項)後,當您執行雲安全態勢管理的檢查時:

    • 對於免費使用的檢查項,雲安全態勢管理的掃描次數驗證次數不消耗雲安全態勢管理授權數,不進行計費。對於風險項修複成功的次數,消耗雲安全態勢管理授權數進行計費。

    • 對於計費使用的檢查項,Security Center會根據您選擇的每個雲產品執行個體的每個檢查項按次計費。

免費使用

免費使用僅提供部分檢查項的檢測,不限制雲安全態勢管理的掃描次數驗證次數。如果需要使用修複功能,則要開通隨用隨付或訂用帳戶方式。

重要

免費使用時,具體支援檢測的檢查項,請以Security Center控制台的風險治理 > 雲安全態勢管理頁面顯示為準。

  • 對於未開通隨用隨付且未購買過雲安全態勢管理掃描次數的使用者,Security Center預設提供70+條檢查項供免費使用。

  • 如果您在2023年07月07日之前已經授權了雲安全態勢管理,按照您購買的Security Center版本,您可以免費使用以下數量的雲安全態勢管理的檢查項,直到Security Center服務到期。如果您在Security Center服務到期之前完成續約,您仍可以繼續免費使用以下數量的檢查項。

    • 免費版防病毒版:70+條。

    • 進階版:90+條。

    • 企業版旗艦版:250+條。

雲安全態勢管理的檢查項會持續更新,如果您希望使用更多的檢查項,您可以選擇隨用隨付訂用帳戶方式,開通雲安全態勢管理功能的全部檢查項。具體操作,請參見授權並開通服務。開通全部檢查項後,歷史掃描資料會保留,並且您可以查看全部檢查項以及自訂選擇需要掃描的檢查項。

訂用帳戶

  • 預付費用為:售賣價格*授權數(購買的雲安全態勢管理掃描次數*購買時間長度(按Security Center服務的購買時間長度計算)

    購買的雲安全態勢管理掃描次數

    價格(美元/次/月)

    0~100,000

    0.0009

    100,001~500,000

    0.00069

    大於500,000

    0.000625

  • 抵扣規則:購買的雲安全態勢管理掃描次數(1.5萬次起售,步長為5.5萬次)作為雲安全態勢管理的剩餘授權數,每次執行雲安全態勢管理的檢查項掃描、驗證、修複時,會根據計算的掃描次數、驗證次數、修複成功次數消耗剩餘授權數

    說明

    如果在某次掃描任務中,您已購買的掃描授權數不夠抵扣,則超過授權數的檢查項掃描、驗證和修複將不會執行。您可以通過任務掃描結果查看任務的執行情況。

隨用隨付

  • 按量費用為:售賣價格*授權數(當日雲安全態勢管理的掃描次數、驗證次數和修複成功次數的總和)。

    按照使用的雲安全態勢管理授權數採用階梯模式以自然日為單位計費。

    使用的雲安全態勢管理授權數

    價格(美元/次)

    0~100,000

    0.0009

    100,001~500,000

    0.0007

    大於500,000

    0.00045

  • 如需查看雲安全態勢管理的賬單,請參見明細賬單

授權並開通服務

首次使用雲安全態勢管理功能時,您需要先授權允許Security Center訪問雲資源。

  1. 授權服務。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇風險治理 > 雲安全態勢管理

    3. 首次使用雲安全態勢管理時,需要在雲安全態勢管理頁面,單擊去授權

      授權後,Security Center將自動建立服務關聯角色AliyunServiceRoleForSasCspm,允許Security Center訪問和編輯該帳號下的雲產品配置,使用該許可權從身份認證、網路存取控制、資料安全、日誌審計、基礎安全防護五個維度為您提供安全配置實踐,降低因雲產品配置錯誤導致的風險。關於AliyunServiceRoleForSasCspm角色的更多資訊,請參見Security Center服務關聯角色

  2. 選擇付費模式開通服務。

    隨用隨付模式

    1. 完成授權後,在雲安全態勢管理頁面,單擊立即開通

    2. 在彈出的開通Security Center隨用隨付版對話方塊中,仔細閱讀使用者協議後選中我已閱讀並同意Security Center(隨用隨付)使用者協議,然後單擊立即開通

    開通完成後,您可以在雲安全態勢管理 > 配置檢查頁面,查看雲安全態勢管理已使用的掃描授權數。

    關閉隨用隨付

    您可以在雲安全態勢管理的已使用授權數地區,單擊停止使用,關閉雲安全態勢管理隨用隨付。

    說明

    關閉隨用隨付後,才可開通訂用帳戶計費。

    訂用帳戶模式

    訪問Security Center購買頁,購買雲安全態勢管理掃描次數和時間長度。具體操作,請參見購買Security Center

    說明

    建議您按照執行個體個數的20倍購買雲安全態勢管理掃描次數,以免出現掃描次數不足需要重新掃描的情況。例如,您一共有10個雲產品,每款雲產品中包含15個執行個體,此時,建議您購買的掃描次數=10*15*20=3000次。

    開通完成後,您可以在雲安全態勢管理 > 配置檢查頁面,查看雲安全態勢管理的剩餘授權數

    擴容、降配或續約

    如果剩餘授權數不足或Security Center執行個體到期,無法再執行檢查策略,您可以單擊擴容,在訂單升級頁簽購買更多授權數或續約。您也可以根據業務實際需求,在訂單降配頁簽降低授權數或關閉雲安全態勢管理

    訂用帳戶轉隨用隨付

    以訂用帳戶方式購買雲安全態勢管理掃描次數後,無法直接將雲安全態勢管理掃描次數轉化成隨用隨付。您可以先將Security Center執行個體降配或退款,再開通隨用隨付模式。

    • 申請降配,請參見降配

    • 申請退訂已購買的Security Center執行個體,請提交工單

使用流程

  1. 接入雲產品:查看支援接入和檢查的雲產品,將需要檢測的雲產品接入Security Center,支援接入阿里雲產品和第三方雲產品。

  2. 使用雲安全態勢管理:設定檢查策略、查看雲安全態勢管理的檢查結果、處理檢查後的風險項。

  3. 攻擊路徑分析:對阿里雲上雲產品之間的訪問路徑進行全面掃描與分析,瞭解不同雲端服務之間的串連關係及潛在風險點,從而識別出不必要的直接存取許可權,發現可能被利用的薄弱環節。

常見問題