Security Center基於AI-SPM、KSPM、CIEM、安全風險、合規風險檢查雲產品配置的安全 - Security Center

雲安全態勢管理提供雲產品配置風險檢查功能，提供AI安全態勢管理（AI-SPM）、Kubernetes組態管理（KSPM）、身份許可權管理（Cloud Infrastructure Entitlements Management，CIEM）、安全風險和合規風險情境來檢測雲產品的配置問題和安全風險，並根據不同的風險等級進行資料統計展示，方便您瞭解雲產品的配置風險概況。

版本限制

Security Center的免費使用者與付費版本使用者均可使用該功能。

計費說明

Security Center提供部分檢查項免費使用。對於付費檢查項，按照每個雲產品執行個體的每個檢查項的授權次數收費，授權次數包括全部付費檢查項的掃描次數、驗證次數和修複成功的次數。具體計費模式和規則說明，請參見雲安全態勢管理的計費說明。

使用流程簡介

授權允許Security Center訪問雲資源並開通雲安全態勢管理功能，以使用雲產品配置風險檢測的全部檢查項。具體內容，請參見授權並開通功能。
說明
如果僅使用Security Center提供的免費檢查項，完成授權操作即可。
將需要進行配置風險檢查的多雲資產接入Security Center。具體內容，請參見接入待檢查的雲產品。
Security Center會自動同步當前阿里雲帳號下的雲產品，您無需手動接入同帳號雲產品。
配置檢查策略。例如：擷取部分指定的雲產品配置是否存在風險，周期性執行雲產品配置風險檢查，或將指定雲產品執行個體的某些檢查項加入白名單不進行檢查。具體內容，請參見設定檢查策略。
手動立即執行全量掃描或按策略掃描。Security Center也會按照掃描策略中的檢查周期和檢查時間進行自動掃描。具體內容，請參見執行雲產品配置風險檢查。
查看未通過檢查項的詳情，包括檢查項說明、有風險的資產執行個體和Security Center提供處置方案等。具體內容，請參見查看雲產品配置風險檢查的結果。
根據處置方案對有風險的資產執行個體進行修複和驗證，確認檢查項驗證已通過。具體內容，請參見處理未通過檢查項的雲產品配置。

功能介紹

檢查規則

雲產品配置風險檢查支援基於AI-SPM、KSPM、CIEM、安全風險和合規風險5個情境配置檢查規則，Security Center提供的預定義檢查項類目的具體規則請參考下表。同時支援在這5個情境下添加自訂檢查項。具體內容，請參見添加自訂檢查項。

重要

預定義檢查項類目下支援檢測的具體檢查項，請以Security Center控制台的風險治理 > 雲安全態勢管理頁面顯示為準。

檢查項歸屬情境	檢查項類目	說明
AI-SPM	阿里雲AI安全實踐：人工智慧平台PAI。	阿里雲通過實施嚴格的AI安全實踐標準，包括資料保護、存取控制、模型安全評測等多方面的配置安全措施，確保AI應用在整個生命週期內的安全性與合規性，有效防範潛在風險並保護使用者資料隱私。 Security Center基於阿里雲AI安全實踐、Azure-AI安全實踐和AWS-AI安全實踐，支援對PAI、Function Compute、機器學習等AI相關的資產的安全配置風險進行檢查，包括最小許可權、操作保護、公網白名單等檢查項，協助您有效地管理和降低AI應用中的配置風險，保障資料安全和服務的穩定性。
	Azure-AI安全實踐：AI服務、機器學習。
	AWS-AI安全實踐：機器與學習。
KSPM	K8s最佳安全實踐：容器安全、安全性原則、RBAC、儲存策略。	KSPM專註於確保Kubernetes（K8s）叢集的配置符合最佳安全實踐要求，協助識別潛在的安全風險。 Security Center基於K8s最佳安全實踐，支援對容器共用命名空間、特權啟動許可權和敏感欄位配置進行檢測，協助您及時發現並解決叢集上各種應用程式及服務的部署和配置問題，確保K8s部署的安全性和合規性。
CIEM	AWS身份許可權管理：IAM身份認證、IAM許可權管理。	CIEM是一種集合了雲安全評估技術和授權管理的服務，用於管理和控制雲平台的使用和存取權限。 Security Center基於CIEM技術對雲平台進行身份許可權管理，支援檢測使用者帳號是否存在過度授權、密碼到期等問題，協助您及時發現並解決授權管理方面的問題，提高雲平台的安全性和可靠性。
	騰訊雲身份許可權管理：CAM身份認證、CAM許可權管理。
	阿里雲身份許可權管理：RAM身份認、IDAAS、RAM許可權管理。
安全風險	阿里雲最佳安全實踐：安全、NoSQL資料庫、儲存、彈性計算、關係型資料庫、資料倉儲、容器與中介軟體、網路、巨量資料、DevOps與治理、資料庫管理工具。	最佳安全實踐是雲廠商在多年的安全實踐中總結出來的一系列安全措施和方法，旨在最大限度地保護使用者的資料和業務安全。 Security Center基於不同雲廠商的最佳安全實踐，通過對業務系統的安全配置、代碼漏洞、日誌配置等進行檢測，找出雲平台可能存在的安全配置風險，確保您的資料和業務得到最大的保護。
	AWS最佳安全實踐：計算、資料庫、分析、儲存、連網和內容分發、容器。
	Azure最佳安全實踐：網路、計算、容器、儲存、資料庫、安全、監視器。
	騰訊雲最佳安全實踐：網路、關係型資料庫、NoSQL資料庫、儲存、容器和中介軟體、巨量資料、安全、計算。
	華為云：管理與監管。
合規風險	國際通用安全最佳實務：阿里雲平台基準、AWS平台基準。	國際通用安全最佳實務（Center for Internet Security）標準是由國際通用安全最佳實務開發的一系列資訊安全相關標準，是國際公認的保護IT系統和資料免受網路攻擊的安全標準。 Security Center基於國際通用安全最佳實務標準，支援對雲平台進行全面的合規風險檢測和管理，識別出不符合國際通用安全最佳實務標準的風險配置，方便您及時修複，從而提高雲產品的網路安全性，降低網路攻擊風險。
	PCI資料安全標準：阿里雲平台PCI DSS。	PCI DSS（Payment Card Industry Data Security Standard，支付卡行業資料安全標準）是一套旨在支援並增強持卡人資訊安全、促進全球範圍內一致採用的資料安全措施。該標準覆蓋了資訊安全管理體系、網路安全防護、物理安全保障以及資料加密等多個方面，設定了全面的安全基準要求。 Security Center基於PCI DSS提供了一系列的安全檢測服務，支援對雲平台的網路安全配置、潛在漏洞、存取控制措施、日誌審計追蹤、加密傳輸和惡意軟體防護等進行檢測、評估和管理，旨在協助企業滿足PCI DSS的要求並保護其支付卡資訊的安全。
	等級保護2.0標準：阿里雲平台等保三級。	2019年12月01日起，網路安全等級保護基本要求（GB/T 22239-2019資訊安全技術）等系列標準正式實施，落實網路安全等級保護制度是每個企業和單位的基本義務和責任。 Security Center在確保雲平台自身滿足基本要求的基礎上，提供了等保合規檢查功能，支援對網路安全配置、主機安全的漏洞管理以及資料安全管理等進行全面的安全檢測，協助您更快速、高效和持續地落實網路安全等級保護制度，提升雲上業務系統的安全防護能力。
	ISO國際標準：阿里雲平台ISO 27001。	ISO 27001是國際資訊安全管理體系的認證標準。企業通過ISO 27001認證，表示國際權威組織認可企業的資訊安全體系，證明企業有能力為客戶提供安全可靠的資訊服務。 Security CenterISO 27001合規檢測可以檢查企業資產的系統是否符合ISO 27001認證的要求，例如資產管理、存取控制、密碼學、操作安全等，進而對企業的資訊資產進行全面的風險評估，識別潛在的安全威脅與脆弱性，並給出相應的風險處理建議，協助企業通過ISO 27001認證。

評定風險等級

雲安全態勢管理功能主要根據風險類型的危害程度以及應用情境進行分級。

風險等級	說明	修複
高危	增加入侵風險或者風險暴露的屬於高危風險項，包括管理連接埠或者重要服務暴露、來源站點繞過、憑據泄露、未授權訪問、認證繞過以及特權帳號未禁用等。	建議緊急修複。
中危	高危風險之外的重要檢查項，能降低配置弱點被攻擊風險和明顯增加資料安全效果的風險項。	建議結合實際情況及時修複或處置。
低危	中危和高危以外的檢查項，例如日誌審計、安全治理提醒等。	可忽略或者有需要（例如合規要求）再修複。

修複雲產品配置風險

Security Center針對每個風險項，為您提供相應的最佳化建議和修複方案，協助您更好地管理雲資源和保障業務運行安全。

手動修複：您需要根據檢查結果的威脅影響和處置方案議，在雲產品側確認風險影響後執行修複操作。
一鍵修複：Security Center提供100+條檢查項的一鍵修複功能，可在Security Center控制台直接修複對應雲產品執行個體的檢查項配置。
您可以在Security Center控制台查看支援在Security Center一鍵修複的風險項。具體內容，請參見修複風險項。
每成功修複一次一個執行個體的一個風險項，消耗一次雲安全態勢管理的授權數。

支援檢查的雲產品

Security Center支援接入阿里雲產品、第三方雲平台（騰訊雲、華為雲、Azure和AWS）的產品以及K8s自建叢集，按照檢查規則檢查雲產品配置。您可以在Security Center控制台查看支援接入和檢查的具體雲產品。具體內容，請參見查看支援檢查的雲產品。