全部產品
Search

搜尋本產品

    Security Center:接入雲產品

    文件中心

    Security Center:接入雲產品

    更新時間:Dec 27, 2024

    您需要將待掃描配置的雲產品接入Security Center後,才可以使用雲安全態勢管理功能。雲安全態勢管理支援檢測阿里雲產品和第三方雲產品的安全配置,發現潛在的風險和安全性漏洞,並提供修複建議和指導,協助您提升雲產品的安全性和穩定性。

    前提條件

    已授權雲安全態勢管理服務,且已開通隨用隨付或已購買足夠的雲安全態勢管理掃描授權數。具體操作,請參見授權並開通服務

    查看支援接入的雲產品

    目前,Security Center支援接入阿里雲和第三方雲平台中的資產進行雲安全態勢管理,您可以在Security Center控制台查看支援接入和檢查的阿里雲產品、第三方雲平台及其雲產品。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇風險治理 > 雲安全態勢管理

    3. 雲安全態勢管理頁面,單擊配置檢查頁簽。

    4. 在檢查項列表上方,選擇雲產品,單擊阿里雲或第三方雲平台(例如,騰訊雲AWS),可以分別查看Security Center目前支援接入的雲產品列表。

      image

    接入阿里雲產品

    • Security Center會自動同步當前阿里雲帳號下的雲產品,您無需手動接入同帳號雲產品。

    • 如果您需要檢測跨阿里雲帳號的主帳號下雲產品配置,您需要先通過多帳號安全管理能力,將跨帳號資源接入到Security Center。具體操作,請參見多帳號安全管理

    您可以手動同步當前阿里雲帳號、跨帳號以及已接入的第三方雲帳號下的雲產品。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇資產 > 雲產品

    3. 單擊同步最新资产

    接入第三方雲產品

    目前,雲安全態勢管理支援檢測騰訊雲、AWS、Azure雲平台的資產安全配置。您可以將第三方雲產品接入Security Center,使用雲安全態勢管理進行雲產品配置掃描。

    步驟一:配置第三方雲平台帳號

    接入第三方雲產品前,您需要登入第三方雲平台,建立第三方子帳號AK(AccessKey),並為子帳號授予雲安全態勢管理需要的許可權。

    配置騰訊雲帳號

    建立第三方子帳號AK

    1. 建立一個子帳號。具體操作,請參見建立子帳號

    2. 為建立的子帳號授予CloudResourceReadOnlyAccessQcloudCamReadOnlyAccess許可權。具體操作,請參見授權管理

      如果需要精細化控制Security Center訪問騰訊雲資產的許可權,也可以使用自訂策略授權,實現精微調權限管理。

      重要

      如果Security Center的雲安全態勢管理功能新增了檢查項,必須及時更新對應的自訂策略,否則會無法檢測新增的檢查項。請謹慎使用自訂策略授權。

      1. 通過策略文法建立一個自訂策略,需要授權的API操作許可權如以下策略內容中的action所示。具體操作,請參見通過策略文法建立自訂策略

        策略內容中元素配置的詳細說明,請參見元素參考

        策略內容

        {
	"version": "2.0",
	"statement": [{
			"effect": "allow",
			"action": [
				"cam:DescribeRoleList",
				"cam:DescribeSafeAuthFlagColl",
				"cam:GetPolicy",
				"cam:GetRole",
				"cam:GetRolePermissionBoundary",
				"cam:GetUser",
				"cam:GetUserPermissionBoundary",
				"cam:ListAccessKeys",
				"cam:ListAttachedRolePolicies",
				"cam:ListAttachedUserAllPolicies",
				"cam:ListCollaborators",
				"cam:ListUsers"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"cbs:DescribeDiskAssociatedAutoSnapshotPolicy",
				"cbs:DescribeDisks",
				"cdb:DescribeAccountPrivileges",
				"cdb:DescribeAccounts",
				"cdb:DescribeAuditConfig",
				"cdb:DescribeBackupConfig",
				"cdb:DescribeDBFeatures",
				"cdb:DescribeDBInstances",
				"cdb:DescribeDBSecurityGroups"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"clb:DescribeLoadBalancers",
				"clb:DescribeTargetHealth",
				"clb:DescribeTargets"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"cvm:DescribeInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"cwp:DescribeAssetMachineDetail"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"dcdb:DescribeDCDBInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"es:DescribeInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"mariadb:DescribeAccountPrivileges",
				"mariadb:DescribeAccounts",
				"mariadb:DescribeBackupTime",
				"mariadb:DescribeDBInstanceDetail",
				"mariadb:DescribeDBInstances",
				"mariadb:DescribeDBSecurityGroups"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"postgres:DescribeBackupPlans",
				"postgres:DescribeDBInstanceSecurityGroups",
				"postgres:DescribeDBInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"redis:DescribeAutoBackupConfig",
				"redis:DescribeDBSecurityGroups",
				"redis:DescribeInstanceMonitorTopNCmd",
				"redis:DescribeInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"region:DescribeRegions"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"ssl:DescribeCertificate",
				"ssl:DescribeCertificates"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"tcr:DescribeInstances",
				"tcr:DescribeRepositories"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"vpc:DescribeNetworkAcls",
				"vpc:DescribeSecurityGroupPolicies",
				"vpc:DescribeSecurityGroups",
				"vpc:DescribeSubnets"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"mysql:DescribeDBInstances"
			],
			"resource": [
				"*"
			]
		}
	]
}

      2. 為子帳號關聯剛建立的自訂策略,使Security Center可以訪問該帳號下的騰訊雲資產。具體操作,請參見授權管理

    3. 為子帳號建立存取金鑰。具體操作,請參見子帳號存取金鑰管理

    配置審計日誌

    如果您需要在Security Center接入第三方雲產品的系統活動或操作的日誌,您需要在第三方雲平台配置Log Service,並授予Security Center讀取許可權。

    重要

    審計日誌配置的Kafka和日誌集合相關資料將用於雲安全態勢管理中身份許可權管理(CIEM)的檢測,如果不配置審計日誌,Security Center會無法檢測CIEM相關檢查項。

    1. 進入騰訊雲Log Service控制台,建立一個日誌主題。具體操作,請參見管理日誌主題

      重要

      Log Service地區建議選擇與雲產品相同的地區。

    2. 進入騰訊雲審計控制台,使用跟蹤集投遞日誌。具體操作,請參見使用跟蹤集投遞日誌

      建立跟蹤集時的關鍵配置項如下:

      • 管理事件類型:選擇全部。

      • 資源類型:選擇全部資源類型。

      • 投遞位置:選擇將事件投遞到Log ServiceCLS,將投遞的日誌主題配置為上述步驟中建立的日誌主題,並選中補齊近三個月(90天)事件

    3. 自訂一個權限原則,並為需要接入Security Center的子帳號授權該自訂許可權。

      自訂權限原則的內容如下:

      {
    "statement": [
        {
            "action": [
                "cls:OpenKafkaConsumer"
            ],
            "effect": "allow",
            "resource": [
                "qcs::cls:${CLS 所在RegionID}:uin/${主帳號ID}:topic/${CLS TopicID}",
                "qcs::cls:${CLS 所在RegionID}:uin/${主帳號ID}:logset/${CLS 日誌集ID}"
            ]
        }
    ],
    "version": "2.0"
}

      您需要進入日誌主題的基本資料頁面,擷取日誌主題的詳細資料,替換上述策略中的資訊。

      • ${CLS TopicID}:填寫為日誌主題ID的取值。

      • ${CLS 日誌集ID}:填寫為所屬日誌集ID的取值。

      • ${CLS 所在RegionID}:填寫為地區取值對應的地區ID。

      • ${主帳號ID}:在控制台右上方單擊頭像,擷取主帳號ID。

    4. 擷取日誌主題的Kafka主題名稱、Kafka外網服務接入地址資訊和所屬日誌集ID,用於接入Security Center。

      • 進入日誌主題的基本資料頁面,擷取所屬日誌集ID

      • 進入Kafka協議消費頁面,擷取Kafka主題名稱和Kafka外網服務接入地址。具體操作,請參見Kafka 協議消費

    配置AWS帳號

    建立第三方子帳號AK

    1. 進入IAM身份管理主控台,建立一個IAM使用者。具體操作,請參見添加使用者

    2. 為新建立的IAM使用者添加ReadOnlyAccess許可權。具體操作,請參見添加許可權

    配置審計日誌

    如果您需要在Security Center接入第三方雲產品的系統活動或操作的日誌,您需要在第三方雲平台配置Log Service,並授予Security Center讀取許可權。

    重要

    審計日誌配置的SQS隊列相關資料將用於雲安全態勢管理中身份許可權管理(CIEM)的檢測,如果不配置審計日誌,Security Center會無法檢測CIEM相關檢查項。

    1. 進入SQS控制台,選取或建立一個SQS隊列。具體操作,請參見建立 Amazon SQS 標準隊列並發送訊息建立 Amazon SQS FIFO 隊列並發送訊息

    2. 進入S3控制台,選擇或建立一個S3儲存桶。具體操作,請參見建立 S3 儲存桶

      重要

      請確保S3和SQS屬於同一個地區。

    3. 為S3儲存桶和對象啟用CloudTrail事件記錄記錄。具體操作,請參見為 S3 桶和對象啟用 CloudTrail 事件記錄記錄

      重要

      建立CloudTrail跟蹤時,請勿啟用記錄檔SSE-KMS加密功能。

    4. 進入S3控制台,為建立好的S3儲存桶建立事件通知。具體操作,請參見啟用和配置事件通知

      • 事件類型:選擇發送

      • 目標:選擇SQS隊列,並輸入SQS的ARN。

    5. 建立一個授予SQS的儲存桶讀寫權限的自訂策略。具體操作,請參見建立 IAM policy

      自訂權限原則的內容如下:

      {
  "Version": "2012-10-17",
  "Id": "__default_policy_ID",
  "Statement": [
    {
      "Sid": "__owner_statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::${帳號ID}:root"
      },
      "Action": "SQS:*",
      "Resource": "${系統自動給出的SQS ARN}"
    },
    {
            "Sid": "example-statement-ID",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SQS:SendMessage"
            ],
            "Resource": "${系統自動給出 SQS ARN}",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:*:*:${S3 儲存桶的名稱}"
                }
            }
        }
  ]
}

      • 您可以進入建立SQS的預設策略中,擷取帳號ID和SQS ARN,替換上述策略中的${帳號ID}${系統自動給出 SQS ARN}

        image.png

      • 您可以進入S3的詳情頁面,擷取S3的bucket name,替換上述策略中的${S3 儲存桶的名稱}

        image.png

    6. 為IAM使用者添加自訂權限原則。具體操作,請參見添加許可權

    7. 進入SQS隊列詳情頁面,擷取SQS隊列名稱和所在的地區ID,用於接入Security Center。

      image.png

    配置Azure帳號

    1. 在您當前的作業系統中安裝Azure CLI。具體操作,請參見How to install the Azure CLI

      例如,在Linux-Ubuntu作業系統中更新存放庫資訊並安裝azure-cli包。

      sudo apt-get update
sudo apt-get install azure-cli

    2. 使用CLI登入Azure:執行以下命令,根據頁面提示輸入Azure帳號資訊完成登入。

      • 世紀互聯營運使用者

        設定當前環境為中國的Azure雲,並設定cloud的地區為AzureChinaCloud

        az cloud set -n AzureChinaCloud
az login

      • 非世紀互聯營運使用者

        az login

    3. 執行以下命令,擷取AK認證資訊。

      [your-account-ID]需替換為您要建立的AK帳號名稱。[ID1, ID2, ID3]為待接入Security Center的Azure雲資產所屬的訂閱ID列表,ID1ID2ID3需替換為真實的訂閱ID。 

      az ad sp create-for-rbac \
--name [your-account-ID] \
--role Reader \
--scopes /subscriptions/[ID1, ID2, ID3]

      返回如下AK認證資訊:

      image

    步驟二:將第三方雲帳號AK接入Security Center

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇系統配置 > 功能設定

    3. 雲安全態勢管理 > 多云资产頁簽,單擊新增授权,在下拉式清單中,選擇需要接入的多雲廠商(騰訊雲、AWS或Azure)。

    4. 编辑多云配置面板,選擇手动配置方案,然後在权限说明地區選取項目雲安全態勢管理(表示授權Security Center第三方雲帳號下所有雲產品的讀許可權),單擊下一步

    5. 提交AK嚮導頁面,輸入第三方子帳號AK資訊,選擇接入地區,然後單擊下一步

    6. 對於騰訊雲和AWS雲資產,可以設定接入審計日誌。

      如果需要接入審計日誌,請在審計日志配置嚮導頁面,配置審計日誌資訊,然後單擊下一步。如果不需要接入審計日誌,請單擊跳過

      • 接入騰訊雲帳號時,依次輸入擷取到騰訊雲CLSLog Service的Kafka主題名稱、Kafka外網服務接入地址資訊和所屬日誌集ID

      • 接入AWS帳號時,依次輸入擷取到的AWS SQS所在的地區ID和SQS隊列名稱。

    7. 策略配置嚮導頁面,配置接入第三方資產的地區、資料同步頻率等,單擊確定

      配置項

      說明

      選擇地區

      選擇接入Security Center的資產所屬的地區。

      新增地區接入管理

      選中複選框,表示後續新增地區的資產預設會接入Security Center。

      雲產品同步頻率

      選擇Security Center自動同步第三方雲產品的時間間隔。選擇關閉,表示不同步。

      AK服務狀態檢查

      選擇Security Center自動檢測第三方帳號AK有效性的時間間隔。選擇關閉,表示不檢查。

    8. 單擊同步最新資產,將第三方子帳號下的資產同步到Security Center。

    相關文檔