Aset Huawei Cloud yang aman dengan pasangan AccessKey - Security Center

Anda dapat mengonfigurasi pasangan AccessKey (AK) dari akun Huawei Cloud Anda di Alibaba Cloud Security Center. Hal ini memungkinkan Security Center mengakses API Huawei Cloud dan mengambil informasi aset. Anda kemudian dapat memprovision sumber daya Huawei Cloud, seperti host dan produk cloud, ke Security Center untuk perlindungan. Topik ini menjelaskan cara memprovision aset Huawei Cloud menggunakan pasangan AccessKey. Metode ini membantu Anda memusatkan manajemen keamanan aset multi-cloud dan mengurangi kompleksitas pengelolaan keamanan di lingkungan multi-cloud.

Opsi konfigurasi dan fitur yang didukung

Opsi konfigurasi	Deskripsi	Fitur yang didukung
Konfigurasi manual	Buat pengguna IAM Huawei Cloud dan berikan izin. Kemudian, kirimkan pasangan AccessKey pengguna IAM tersebut di Security Center untuk menyelesaikan otorisasi.	Aset host Manajemen Postur Keamanan Cloud - Konfigurasi produk cloud Analisis dan Tanggapan Ancaman Penting Hanya berlaku untuk arsitektur Analisis dan Tanggapan Ancaman 1.0. Tidak berlaku untuk versi 2.0.
Konfigurasi cepat (hanya untuk aset host)	Kirimkan pasangan AccessKey akun root Huawei Cloud Anda. Security Center kemudian akan secara otomatis membuat pengguna IAM Huawei Cloud dan menyelesaikan otorisasi.	Aset host

Penting

Langkah-langkah untuk konsol Huawei Cloud yang dijelaskan dalam topik ini hanya sebagai referensi. Untuk petunjuk lebih rinci, lihat dokumentasi Huawei Cloud yang ditautkan dalam topik ini.

Konfigurasi manual

1. Buat grup pengguna dan berikan izin

Untuk informasi selengkapnya, lihat Buat grup pengguna dan berikan izin.

Masuk ke konsol Huawei Cloud dan buka halaman User Group. Di pojok kanan atas halaman User Group, klik Create User Group.
Pada halaman Create User Group, masukkan nama grup pengguna dan deskripsi, lalu klik OK.
Pada halaman User Group, klik Authorize di kolom Tindakan untuk grup pengguna baru tersebut.

Konfigurasikan izin yang diperlukan untuk fitur-fitur yang Anda butuhkan, lalu klik Next.

Aset host:
- ECS ReadOnlyAccess: Memberikan izin akses read-only untuk Elastic Cloud Server.
- IAM ReadOnlyAccess: Memberikan izin read-only untuk Identity and Access Management (IAM).
Manajemen Postur Keamanan Cloud:
- Tenant Guest: Memberikan izin read-only untuk semua layanan cloud kecuali IAM.
- IAM ReadOnlyAccess: Memberikan izin read-only untuk IAM.

Analisis dan Tanggapan Ancaman: Klik Create Policy untuk membuat dua kebijakan kustom bernama siemBasePolicy dan siemNormalPolicy. Kemudian, berikan kebijakan tersebut ke grup pengguna saat ini. Untuk informasi selengkapnya, lihat Buat Kebijakan Kustom.

Catatan

Saat membuat kebijakan kustom di Huawei Cloud, Anda harus membuat kebijakan tingkat global dan kebijakan tingkat proyek. Hal ini memungkinkan Anda memberikan izin minimum yang diperlukan.

siemBasePolicy sesuai dengan izin untuk layanan cloud tingkat global. Konten kebijakan adalah sebagai berikut:

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy adalah kebijakan izin untuk layanan cloud tingkat proyek. Kebijakan tersebut adalah sebagai berikut:

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

Pada bagian Select Authorization Scope, pilih All Resources dan klik OK.

2. Buat pengguna IAM dan peroleh pasangan AccessKey

Untuk informasi selengkapnya, lihat Buat Pengguna IAM.

Di konsol Huawei Cloud, buka halaman Pengguna. Pada halaman Users, klik Create User di pojok kanan atas.
Pada halaman pembuatan pengguna, masukkan nama pengguna, atur Access Type menjadi Programmatic Access, lalu klik Next.
Pada halaman wizard Add To Group (Optional), pilih grup pengguna yang telah Anda buat pada langkah sebelumnya dan klik Create User.
Pada kotak dialog Download Access Key, klik OK.
Ambil ID AccessKey dan Secret AccessKey dari file credentials.

3. Pilih deskripsi izin dan kirimkan pasangan AccessKey pengguna IAM

Masuk ke konsol Security Center.
Di panel navigasi sebelah kiri, pilih System Settings > Feature Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin Anda lindungi berada: China atau Outside China.
Pada tab Multi-cloud Configuration Management > Multi-cloud Assets, klik Grant Permission dan pilih Huawei Cloud dari daftar drop-down.
Anda juga dapat membuka panel Provision Assets Outside Alibaba Cloud dari titik masuk berikut:
- Pada halaman Asset Center > Host Assets, di area Multicloud Asset Access dan di bawah HUAWEI CLOUD, arahkan kursor ke ikon dan klik Connect.
- Pada halaman Threat Administration > Cloud Security Posture Management, pada tab Cloud Product Configuration Risks, arahkan kursor ke ikon di area Multicloud Product Access, lalu klik Access di bawah Huawei Cloud.
- Pada halaman Threat Analysis and Response > Product Access, di area Multi-Cloud Product Access, arahkan kursor ke ikon dan klik Access Authorization di bawah HUAWEI CLOUD.
Pada panel Provision Assets Outside Alibaba Cloud, pastikan Manual Configuration tetap dipilih. Di bagian Permission Description, pilih fitur Security Center yang ingin Anda gunakan dan klik Next.
- Host Assets: Pilih item konfigurasi ini untuk memungkinkan Security Center menyinkronkan aset host Huawei Cloud Anda secara otomatis. Memilih item ini mengharuskan Anda memberikan izin baca untuk server cloud kepada pengguna IAM pada langkah berikutnya.
- Cloud Security Posture Management: Pilih item konfigurasi ini untuk memindai konfigurasi produk Huawei Cloud Anda dan mengelola risiko konfigurasi.
- Threat Analysis and Response: Pilih item konfigurasi ini untuk memblokir alamat IP berbahaya dan melakukan operasi tanggapan lainnya pada aset Huawei Cloud Anda.
Pada wizard Submit AccessKey Pair, masukkan ID AccessKey dan rahasia AccessKey pengguna IAM, lalu klik Next.
Nama akun membedakan aset dari akun berbeda yang berasal dari penyedia layanan cloud yang sama. Tentukan nama deskriptif berdasarkan tujuan akun tersebut.
Penting
Jangan menghapus atau menonaktifkan pengguna IAM atau pasangan AccessKey-nya. Hal ini memastikan proses provisioning tidak terganggu.

4. Selesaikan konfigurasi kebijakan provisioning

Pada wizard Policy Configuration pada panel Provision Assets Outside Alibaba Cloud di konsol Security Center, konfigurasikan parameter seperti wilayah aset Huawei Cloud dan frekuensi sinkronisasi data. Lalu, klik OK.

Item konfigurasi	Deskripsi
Select region	Pilih wilayah tempat aset yang ingin Anda provision berada. Security Center memprovision data aset akun saat ini ke pusat data yang sesuai berdasarkan pusat data (China atau Outside China) yang Anda pilih di pojok kiri atas konsol.
Region Management	Jika Anda memilih opsi ini dan wilayah baru ditambahkan ke akun Huawei Cloud saat ini, Security Center secara default memprovision data aset wilayah baru tersebut ke pusat data saat ini. Jika Anda tidak memilih opsi ini, wilayah baru tidak akan diprovision ke Security Center.
Host Asset Synchronization Frequency	Pilih interval sinkronisasi otomatis aset host Huawei Cloud oleh Security Center. Pilih Disable untuk menonaktifkan sinkronisasi. Catatan Anda harus mengonfigurasi parameter ini jika memilih Host Assets untuk Permission Description.
Cloud Service Synchronization Frequency	Pilih interval sinkronisasi otomatis produk cloud Huawei Cloud oleh Security Center. Pilih Disable untuk menonaktifkan sinkronisasi. Catatan Anda harus mengonfigurasi parameter ini jika memilih Cloud Security Posture Management untuk Permission Description.
AK Service Status Check	Pilih interval pemeriksaan otomatis validitas pasangan AccessKey akun Huawei Cloud oleh Security Center. Pilih Disable untuk menonaktifkan pemeriksaan.

Klik Synchronize Assets untuk menyinkronkan semua aset dari akun Huawei Cloud ke Security Center.

Konfigurasi cepat (hanya untuk aset host)

1. Buat pasangan AccessKey untuk akun root

Untuk informasi selengkapnya, lihat Membuat Access Key.

Masuk ke konsol Huawei Cloud dan buka halaman Access Keys.
Klik Add Access Key. Di kotak dialog, pilih I Am Aware Of The Risks Of Creating An Access Key For My Account dan klik Continue To Create.
Klik Download Now di kotak dialog Creation Successful.
Ambil ID AccessKey dan Secret AccessKey dari file credentials.

2. Kirimkan pasangan AccessKey akun root

Masuk ke konsol Security Center.
Di panel navigasi sebelah kiri, pilih System Settings > Feature Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset yang ingin Anda lindungi berada: China atau Outside China.
Pada tab Multi-cloud Configuration Management > Multi-cloud Assets, klik Grant Permission dan pilih Huawei Cloud dari daftar drop-down.
Anda juga dapat membuka panel Provision Assets Outside Alibaba Cloud dari titik masuk berikut:
- Pada halaman Asset Center > Host Assets, di area Multicloud Asset Access dan di bawah HUAWEI CLOUD, arahkan kursor ke ikon dan klik Connect.
- Pada halaman Threat Administration > Cloud Security Posture Management, pada tab Cloud Product Configuration Risks, arahkan kursor ke ikon di area Multicloud Product Access, lalu klik Access di bawah Huawei Cloud.
- Pada halaman Threat Analysis and Response > Product Access, di area Multi-Cloud Product Access, arahkan kursor ke ikon dan klik Access Authorization di bawah HUAWEI CLOUD.
Pada panel Provision Assets Outside Alibaba Cloud, pilih Quick Configuration dan klik Next.
Pada wizard Submit AccessKey Pair, masukkan ID AccessKey, rahasia AccessKey, dan nama akun, lalu klik Next.
Nama akun membedakan aset dari akun berbeda yang berasal dari penyedia layanan cloud yang sama. Tentukan nama deskriptif berdasarkan tujuan akun tersebut.

Setelah menyelesaikan langkah-langkah ini, Security Center secara otomatis membuat pengguna dan grup pengguna dengan awalan AlibabaCloudGroup_ di konsol Huawei Cloud. Pengguna dan grup pengguna ini digunakan untuk mengotorisasi Security Center memprovision aset. Jangan menghapus atau menonaktifkan pengguna tersebut atau pasangan AccessKey-nya. Hal ini mencegah gangguan pada provisioning aset Huawei Cloud.

3. Selesaikan konfigurasi kebijakan provisioning

Item konfigurasi	Deskripsi
Select region	Pilih wilayah tempat aset yang ingin Anda provision berada. Security Center memprovision data aset akun saat ini ke pusat data yang sesuai berdasarkan pusat data (China atau Outside China) yang Anda pilih di pojok kiri atas konsol.
Region Management	Jika Anda memilih opsi ini dan wilayah baru ditambahkan ke akun Huawei Cloud saat ini, Security Center secara default memprovision data aset wilayah baru tersebut ke pusat data saat ini. Jika Anda tidak memilih opsi ini, wilayah baru tidak akan diprovision ke Security Center.
Host Asset Synchronization Frequency	Pilih interval sinkronisasi otomatis aset host Huawei Cloud oleh Security Center. Pilih Disable untuk menonaktifkan sinkronisasi.
AK Service Status Check	Pilih interval pemeriksaan otomatis validitas pasangan AccessKey pengguna IAM Huawei Cloud oleh Security Center. Pilih Disable untuk menonaktifkan pemeriksaan.

Klik Synchronize Assets untuk menyinkronkan semua aset host dari akun Huawei Cloud Anda ke Security Center.

4. Hapus pasangan AccessKey akun root

Untuk informasi selengkapnya, lihat Menghapus Access Key.

Masuk ke konsol Huawei Cloud dan buka halaman Access Keys.
Klik Deactivate di kolom Tindakan untuk pasangan AccessKey tersebut. Di kotak dialog yang muncul, klik OK.
Klik Delete di kolom Tindakan untuk pasangan AccessKey tersebut. Di kotak dialog yang muncul, klik OK.

Verifikasi hasil

Aset host

Di konsol Security Center, buka halaman Assets > Host. Di bagian Multicloud Asset Provisioning, klik ikon untuk melihat host Huawei Cloud yang telah diprovision. Untuk informasi selengkapnya, lihat Aset host.

Manajemen Postur Keamanan Cloud

Di konsol Security Center, buka halaman Assets > Cloud Product untuk melihat daftar produk Huawei Cloud yang diprovision menggunakan pengguna IAM. Untuk informasi selengkapnya, lihat Lihat informasi tentang produk cloud.

Analisis dan Tanggapan Ancaman

Di konsol Security Center, buka halaman System Configuration > Feature Settings dan klik tab Multicloud Configuration Management untuk melihat status layanan Analisis dan Tanggapan Ancaman. Jika status layanan adalah Normal, provisioning berhasil.

Langkah selanjutnya

Instal agen pada aset host dan ikat lisensi

Instal agen Security Center pada aset Huawei Cloud Anda. Untuk informasi selengkapnya, lihat Instal agen.
Penting
Saat menjalankan perintah instalasi agen, Anda harus mengatur Service Provider menjadi Huawei Cloud.
Edisi Gratis hanya menyediakan deteksi ancaman dasar dan tidak memberikan perlindungan keamanan. Anda dapat mengikat edisi berbayar Security Center, seperti edisi Anti-Virus, Premium, Enterprise, atau Ultimate, ke server Huawei Cloud yang telah diprovision untuk menggunakan fitur perlindungan keamanan yang disediakan oleh Security Center. Untuk informasi selengkapnya, lihat Kelola lisensi untuk host dan kontainer.

Jalankan pemeriksaan untuk Manajemen Postur Keamanan Cloud

Anda dapat mengonfigurasi dan menjalankan kebijakan pemeriksaan untuk risiko konfigurasi platform cloud untuk memeriksa risiko konfigurasi pada produk Huawei Cloud Anda.
Anda dapat melihat dan menangani item pemeriksaan yang gagal untuk risiko konfigurasi platform cloud.

Ingest log ke Analisis dan Tanggapan Ancaman

Anda harus mengingest log Huawei Cloud Web Application Firewall dan Cloud Firewall untuk menggunakan fitur Analisis dan Tanggapan Ancaman, seperti deteksi ancaman dan penanganan event keamanan. Langkah-langkah berikut menjelaskan cara mengingest log:

Ingest log Huawei Cloud ke Analisis dan Tanggapan Ancaman.
1. Anda dapat dump log yang ingin Anda ingest ke produk cloud tertentu.
2. Anda dapat mengikat akun cloud pihak ketiga dan mengonfigurasi sumber data.
3. Anda dapat mengingest log produk cloud pihak ketiga.
Anda dapat menggunakan fitur Analisis dan Tanggapan Ancaman, seperti deteksi ancaman dan penanganan event keamanan.

Referensi

Untuk informasi selengkapnya tentang Manajemen Postur Keamanan Cloud, lihat Ikhtisar Manajemen Postur Keamanan Cloud.
Untuk informasi selengkapnya tentang Analisis dan Tanggapan Ancaman, lihat Apa itu Analisis dan Tanggapan Ancaman?.