授权云安全中心基于CIEM、安全风险、合规风险检查云产品配置的安全 - 云安全中心

云产品配置错误或操作不当可能会导致云产品被攻击，为此，您可以使用云安全中心提供的云安全态势管理功能，从多维度检测云产品的配置问题和安全风险，降低因配置错误导致的风险，提升云产品安全性。本文介绍云安全态势管理功能及其计费方式。

功能介绍

检查云产品配置

从CIEM、安全风险和合规风险维度检测云产品的配置问题和安全风险，并根据不同的风险等级进行数据统计展示，方便您了解云产品的配置风险概况。

检查规则说明

CIEM、安全风险和合规风险维度的详细介绍，请参见下表。

重要

检查项类目下支持检测的具体检查项，请以云安全中心控制台的风险治理 > 云安全态势管理页面显示为准。

检测维度	检查项类目	说明
CIEM	AWS身份权限管理：IAM身份认证、IAM权限管理。	云基础设施授权管理CIEM（Cloud Infrastructure Entitlements Management）是一种集合了云安全评估技术和授权管理的服务，用于管理和控制云平台的使用和访问权限。云安全中心基于CIEM技术对云平台进行身份权限管理，支持检测用户账号是否存在过度授权、密码过期等问题，帮助您及时发现并解决授权管理方面的问题，提高云平台的安全性和可靠性。
	腾讯云身份权限管理：CAM身份认证、CAM权限管理。
	阿里云身份权限管理：RAM身份认、IDAAS、RAM权限管理。
安全风险	阿里云最佳安全实践：安全、NoSQL数据库、存储、弹性计算、关系型数据库、数据仓库、容器与中间件、网络、大数据、DevOps与治理、数据库管理工具。	最佳安全实践是云厂商在多年的安全实践中总结出来的一系列安全措施和方法，旨在最大限度地保护用户的数据和业务安全。云安全中心基于不同云厂商的最佳安全实践，通过对业务系统的安全配置、代码漏洞、日志配置等进行检测，找出云平台可能存在的安全配置风险，确保您的数据和业务得到最大的保护。
	AWS最佳安全实践：计算、数据库、分析、存储、联网和内容分发、容器。
	Azure最佳安全实践：网络、计算、容器、存储、数据库、安全、监视器。
	腾讯云最佳安全实践：网络、关系型数据库、NoSQL数据库、存储、容器和中间件、大数据、安全、计算。
合规风险	国际通用安全最佳实践：阿里云平台基线、AWS平台基线。	国际通用安全最佳实践（Center for Internet Security）标准是由国际通用安全最佳实践开发的一系列信息安全相关标准，是国际公认的保护IT系统和数据免受网络攻击的安全标准。云安全中心基于国际通用安全最佳实践标准，支持对云平台进行全面的合规风险检测和管理，识别出不符合国际通用安全最佳实践标准的风险配置，方便您及时修复，从而提高云产品的网络安全性，降低网络攻击风险。
	PCI数据安全标准：阿里云平台PCI DSS。	PCI DSS（Payment Card Industry Data Security Standard，支付卡行业数据安全标准）是一套旨在支持并增强持卡人信息安全、促进全球范围内一致采用的数据安全措施。该标准覆盖了信息安全管理体系、网络安全防护、物理安全保障以及数据加密等多个方面，设定了全面的安全基线要求。云安全中心基于PCI DSS提供了一系列的安全检测服务，支持对云平台的网络安全配置、潜在漏洞、访问控制措施、日志审计追踪、加密传输和恶意软件防护等进行检测评估和管理，旨在帮助企业满足PCI DSS的要求并保护其支付卡信息的安全。
	等级保护2.0标准：阿里云平台等保三级。	2019年12月01日起，网络安全等级保护基本要求（GB/T 22239-2019信息安全技术）等系列标准正式实施，落实网络安全等级保护制度是每个企业和单位的基本义务和责任。云安全中心在确保云平台自身满足基本要求的基础上，提供了等保合规检查功能，支持对网络安全配置、主机安全的漏洞管理以及数据安全管理等进行全面的安全检测，帮助您更快速、高效和持续地落实网络安全等级保护制度，提升云上业务系统的安全防护能力。
	ISO国际标准：阿里云平台ISO 27001。	ISO 27001是国际信息安全管理体系的认证标准。企业通过ISO 27001认证，表示国际权威组织认可企业的信息安全体系，证明企业有能力为客户提供安全可靠的信息服务。云安全中心ISO 27001合规检测可以检测企业资产的系统是否符合ISO 27001认证的要求，例如资产管理、访问控制、密码学、操作安全等，进而对企业的信息资产进行全面的风险评估，识别潜在的安全威胁与脆弱性，并给出相应的风险处理建议，帮助企业通过ISO 27001认证。

支持接入的云产品

云安全中心支持接入阿里云和第三方云平台（腾讯云、Azure和AWS）的产品，按照上述检测规则检查云产品配置。您可以在云安全中心控制台查看支持接入和检查的具体云产品。具体内容，请参见查看支持接入的云产品。

评定风险等级

云安全态势管理功能主要根据风险类型的危害程度以及应用场景进行分级。

风险等级	说明	修复
高危	增加入侵风险或者风险暴露的属于高危风险项，包括管理端口或者重要服务暴露、源站绕过、凭据泄露、未授权访问、认证绕过以及特权账号未禁用等。	建议紧急修复。
中危	高危风险之外的重要检查项，能降低配置弱点被攻击风险和明显增加数据安全效果的风险项。	建议结合实际情况及时修复或处置。
低危	中危和高危以外的检查项，例如日志审计、安全治理提醒等。	可忽略或者有需要（例如合规要求）再修复。

修复云产品配置风险

云安全中心针对每个风险项，为您提供相应的优化建议和修复方案，协助您更好地管理云资源和保障业务运行安全。

手动修复：您需要根据检查结果的威胁影响和处置方案议，在云产品侧确认风险影响后执行修复操作。
一键修复：云安全中心提供100+条检查项的一键修复功能，可在云安全中心控制台直接修复对应云产品实例的检查项配置。
您可以在云安全中心控制台查看支持在云安全中心一键修复的风险项。具体内容，请参见查看云安全态势管理结果。
每成功修复一次一个实例的一个风险项，消耗一次云安全态势管理的剩余授权数。

计费说明

计费规则

云安全态势管理按每个云产品实例的每个检查项的授权次数收费，计费公式为：云安全态势管理费用=售卖价格*授权数。

售卖价格：不同计费模式，售卖价格不同。具体内容，请参见下文的计费方式。
授权数：根据每个云产品实例执行每个检查项扫描、验证和修复成功的次数计算。
授权数=扫描次数+验证次数+修复成功的次数。
“实例”指一个特定的网络设备或应用程序实例，例如对象存储OSS中的Bucket、ECS服务器的安全组等。
如何查看云产品的实例个数
您可以在云安全中心控制台的资产中心 > 云产品页面，查看当前阿里云账号下的实例个数，如下图所示。
开通云安全态势管理后，您每次执行云安全态势管理的检查项扫描时，均会计算扫描次数。每次扫描任务的总扫描次数=扫描的实例总数*选中的检查项个数。
例如，您一共有10个云产品，每款云产品中包含15个实例，在某次扫描任务中，您一共选择了5个检查项（每个实例均执行5个检查项扫描），则该次扫描任务总扫描次数=10*15*5=750次。

计费方式

云安全态势管理服务支持免费使用、包年包月模式（预付费模式）和按量付费模式（后付费模式）。免费使用仅提供部分检查项扫描，付费模式支持全部检查项扫描。

重要

在同一时间内，同一阿里云账号只能选择一种计费方式。
例如，如果您已经开通了云安全态势管理包年包月，则需要等服务到期或者降配关闭云安全态势管理功能后，才能开通云安全态势管理按量付费。详细内容，请参见下文包年包月转按量付费。
对于云安全态势管理的包年包月和按量付费的计费方式，防病毒版、高级版、企业版和旗舰版的计费逻辑相同。
选择按量计费或包年包月方式，开通云安全态势管理功能的全部检查项（包括免费使用的检查项和计费使用的检查项）后，当您执行云安全态势管理的检查时：
- 对于免费使用的检查项，云安全态势管理的扫描次数和验证次数，不消耗云安全态势管理的授权数，不进行计费。对于风险项修复成功的次数，会消耗云安全态势管理的授权数进行计费。
- 对于计费使用的检查项，云安全中心会根据您选择的每个云产品实例的每个检查项按次计费。

免费使用

免费使用仅提供部分检查项的检测，不限制云安全态势管理的扫描次数和验证次数。如果需要使用修复功能，则要开通按量计费或包年包月方式。

重要

免费使用时，具体支持检测的检查项，请以云安全中心控制台的风险治理 > 云安全态势管理页面显示为准。

对于未开通按量计费且未购买过云安全态势管理扫描次数的用户，云安全中心默认提供70+条检查项供免费使用。
如果您在2023年07月07日之前已经授权了云安全态势管理，按照您购买的云安全中心版本，您可以免费使用以下数量的云安全态势管理的检查项，直到云安全中心服务到期。如果您在云安全中心服务到期之前完成续费，您仍可以继续免费使用以下数量的检查项。
- 免费版、防病毒版：70+条。
- 高级版：90+条。
- 企业版、旗舰版：250+条。

云安全态势管理的检查项会持续更新，如果您希望使用更多的检查项，您可以选择按量计费或包年包月方式，开通云安全态势管理功能的全部检查项。具体操作，请参见授权并开通服务。开通全部检查项后，历史扫描数据会保留，并且您可以查看全部检查项以及自定义选择需要扫描的检查项。

包年包月

预付费用为：售卖价格*授权数（购买的云安全态势管理扫描次数）*购买时长（按云安全中心服务的购买时长计算）。
购买的云安全态势管理扫描次数
价格（美元/次/月）
0~100,000
0.0009
100,001~500,000
0.00069
大于500,000
0.000625
抵扣规则：购买的云安全态势管理扫描次数（1.5万次起售，步长为5.5万次）作为云安全态势管理的剩余授权数，每次执行云安全态势管理的检查项扫描、验证、修复时，会根据计算的扫描次数、验证次数、修复成功次数消耗剩余授权数。
说明
如果在某次扫描任务中，您已购买的扫描授权数不够抵扣，则超过授权数的检查项扫描、验证和修复将不会执行。您可以通过任务扫描结果查看任务的执行情况。

按量付费

按量费用为：售卖价格*授权数（当日云安全态势管理的扫描次数、验证次数和修复成功次数的总和）。
按照使用的云安全态势管理授权数采用阶梯模式以自然日为单位计费。
使用的云安全态势管理授权数
价格（美元/次）
0~100,000
0.0009
100,001~500,000
0.0007
大于500,000
0.00045
如需查看云安全态势管理的账单，请参见明细账单。

授权并开通服务

首次使用云安全态势管理功能时，您需要先授权允许云安全中心访问云资源。

授权服务。
1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
2. 在左侧导航栏，选择风险治理 > 云安全态势管理。
3. 首次使用云安全态势管理时，需要在云安全态势管理页面，单击立即授权。
  授权后，云安全中心将自动创建服务关联角色AliyunServiceRoleForSasCspm，允许云安全中心访问和编辑该账号下的云产品配置，使用该权限从身份认证、网络访问控制、数据安全、日志审计、基础安全防护五个维度为您提供安全配置实践，降低因云产品配置错误导致的风险。关于AliyunServiceRoleForSasCspm角色的更多信息，请参见云安全中心服务关联角色。
选择付费模式开通服务。
按量付费模式
1. 完成授权后，在云安全态势管理页面，单击立即开通。
2. 在弹出的开通云安全中心按量付费版对话框中，仔细阅读用户协议后选中我已阅读并同意云安全中心（按量付费）用户协议，然后单击立即开通。
开通完成后，您可以在云安全态势管理 > 配置检查页面，查看云安全态势管理已使用的扫描授权数。
关闭按量付费
您可以在云安全态势管理的已使用授权数区域，单击停止使用，关闭云安全态势管理按量付费。
说明
关闭按量付费后，才可开通包年包月计费。
包年包月模式
访问云安全中心购买页，购买云安全态势管理扫描次数和时长。具体操作，请参见购买云安全中心。
说明
建议您按照实例个数的20倍购买云安全态势管理扫描次数，以免出现扫描次数不足需要重新扫描的情况。例如，您一共有10个云产品，每款云产品中包含15个实例，此时，建议您购买的扫描次数=10*15*20=3000次。
开通完成后，您可以在云安全态势管理 > 配置检查页面，查看云安全态势管理的剩余授权数。
扩容、降配或续费
如果剩余授权数不足或云安全中心实例到期，无法再执行检查策略，您可以单击扩容，在订单升级页签购买更多授权数或续费。您也可以根据业务实际需求，在订单降配页签降低授权数或关闭云安全态势管理。
包年包月转按量付费
以包年包月方式购买云安全态势管理扫描次数后，无法直接将云安全态势管理扫描次数转化成按量付费。您可以先将云安全中心实例降配或退款，再开通按量付费模式。
- 申请降配，请参见降配。
- 申请退订已购买的云安全中心实例，请提交工单。

使用流程

接入云产品：查看支持接入和检查的云产品，将需要检测的云产品接入云安全中心，支持接入阿里云产品和第三方云产品。
使用云安全态势管理：设置检查策略、查看云安全态势管理的检查结果、处理检查后的风险项。
攻击路径分析：对阿里云上云产品之间的访问路径进行全面扫描与分析，了解不同云服务之间的连接关系及潜在风险点，从而识别出不必要的直接访问权限，发现可能被利用的薄弱环节。

云安全中心：云安全态势管理概述