雲安全態勢管理(CSPM)通過自動化的風險檢查、基準掃描和攻擊路徑分析,發現並管理雲上資產的安全風險。該功能可發現雲產品配置錯誤、伺服器配置缺陷等安全隱患,並提供修複建議,以應對因配置不當導致的安全風險。
應用情境
進行雲上資產安全檢查
情境說明:對所有雲上資源進行安全檢查時,可組合使用雲產品配置風險檢查和基準風險檢查。
使用說明:
初步評估:使用免費提供的100餘項檢查項,可對雲產品和伺服器進行初步風險掃描。
深度掃描與修複:開通付費版(隨用隨付或訂用帳戶)後,可使用所有檢查項進行深度掃描,並對發現的風險進行修複。
滿足等保合規或內部安全規範
情境說明:為滿足特定安全標準(如等級保護2.0)或企業內部安全基準要求,進行自動化的合規性審計與持續監控,可使用基準風險檢查功能。
使用說明:此功能內建等級保護2.0、CIS等主流合規檢查包,並支援自訂策略,是實現自動化合規審計的首選。
分析和阻斷潛在的內部攻擊鏈路
情境說明:為分析和阻斷攻擊者利用被攻陷資源作為跳板、橫向移動訪問其他核心資產的潛在鏈路,可使用攻擊路徑分析功能。
使用說明:此功能將離散的配置風險智能串聯,以可視化拓撲圖的形式呈現完整的攻擊路徑。例如:
公網可訪問的ECS→綁定高許可權的RAM角色→可控制所有核心OSS儲存桶。
核心功能介紹
雲產品配置風險檢查
雲產品配置檢查功能通過掃描雲上資產的配置,及時發現並修複因配置不當(例如,ECS安全性群組規則過於寬鬆、OSS儲存桶被公開訪問)而導致的安全性漏洞與合規缺陷。
使用流程如下圖所示,具體內容,請參見雲產品配置風險檢查。
系統基準風險檢查
系統基準風險能深入主機(伺服器)作業系統層面,依據行業標準和安全規範,發現並修複系統是否存在弱口令、不安全的配置或缺失重要補丁等問題,以滿足合規要求。
使用流程如下圖所示,具體內容,請參見基準風險檢查。
攻擊路徑分析
攻擊路徑能全面掃描和分析雲產品間的訪問路徑(例如,通過ECS雲端服務器執行個體被授予的RAM角色控制OSSObject Storage ServiceBucket),提供可視化結果,清晰地瞭解不同雲端服務之間的串連關係及潛在風險點,從而識別出不必要的存取權限,發現可能被利用的薄弱環節。
使用流程如下圖所示,具體內容,請參見攻擊路徑分析。
功能計費說明
計費相關概念
授權數:是雲安全態勢管理付費功能的計量單位。對一個資產執行個體成功執行一次計費範圍內的操作(掃描、驗證或修複)時,消耗一次授權數。
例如:有 10 個產品,每個產品含 15 個執行個體。若您選擇 5 個檢查項對所有執行個體進行掃描,則本次任務將消耗
10 * 15 * 5 = 750次授權。資產執行個體:指具體的雲資源,如一個 OSS Bucket、一台 ECS 的安全性群組等。
檢查項:分為免費檢查項和付費檢查項。
免費檢查項:雲產品配置風險功能提供部分免費檢查項,提供基礎風險感知,不限制掃描和驗證次數,僅修複時消耗授權數。
重要對於2023年7月7日前已授權雲安全態勢管理(原雲產品配置檢查)的使用者,在原Security Center版本執行個體到期前或到期後續約,都可繼續享受對應版本的免費檢查項數量(防病毒版80+,進階版90+,企業版/旗艦版250+)。
付費檢查項:需要購買對應的版本服務或單獨開通雲安全態勢管理服務,費用包含在版本服務或消耗授權數。
更多計費資訊,請參見計費概述。
功能計費詳解
Security Center提供兩種計費模式:訂用帳戶和隨用隨付,覆蓋雲產品配置風險、系統基準風險及攻擊路徑分析功能,各功能的支援情況與計費方式說明如下。
訂用帳戶
此模式為預付費方案,適合擁有長期、穩定安全需求的使用者,有助於成本控制。可通過購買版本服務(如進階版、企業版、旗艦版)或CSPM增值服務,獲得對應檢測防護能力。
購買進階版、企業版或旗艦版版本服務
重要若目前的版本為防病毒版、增值服務版,在未購買雲安全態勢管理增值服務的情況下,可支援檢測、驗證雲產品配置風險的免費檢查項,但不支援風險修複、系統基準風險、攻擊路徑功能。
功能
功能支援詳情
授權數消耗說明
雲產品配置風險
檢測項:免費檢查項。
說明旗艦版額外支援KSPM檢查項。
操作說明:檢測、驗證、不支援修複。
不消耗授權數。
系統基準風險
檢測項:
進階版:僅支援弱口令檢查項。
企業版:除容器安全檢查項以外所有檢查項。
旗艦版:全部檢查項。
操作說明:支援掃描、驗證和修複。
包含在版本費用中,不消耗授權數。
攻擊路徑
不支援
無
購買雲安全態勢管理增值服務
重要若同時購買版本服務,功能支援說明如下:
進階版、企業版或旗艦版:系統基準風險支援的檢測項及操作,以目前的版本支援情況為準,請參見進階版、企業版或旗艦版版本服務說明,雲產品配置風險和攻擊路徑不受版本影響,以下表為準。
防病毒版、增值服務版:系統基準風險、雲產品配置風險和攻擊路徑不受版本影響,以下表為準。
功能
功能支援詳情
授權數消耗說明
雲產品配置風險
檢測項:全部檢查項(免費+付費)。
操作說明:支援檢測、驗證、修複。
免費檢查項:修複成功消耗授權數。
計費檢測項:在掃描、驗證或修複成功時均會消耗授權數。
系統基準風險
檢測項:全部檢查項。
操作說明:支援檢測、驗證、修複。
掃描、驗證或修複成功時均會消耗授權數。
攻擊路徑
支援
此功能為付費版CSPM的內建權益,不額外消耗授權數。
隨用隨付
此模式為後付費方案,適合靈活適配短期或動態擴充情境。通過購買雲安全態勢管理後付費功能,獲得對應檢測防護能力。
若僅購買主機及容器安全後付費功能,可支援檢測、驗證雲產品配置風險的免費檢查項,但不支援風險修複、系統基準風險、攻擊路徑功能。
功能 | 功能支援詳情 | 授權數消耗說明 |
雲產品配置風險 | 檢測項:全部檢查項(免費+付費)。 操作說明:支援檢測、驗證、修複。 |
|
系統基準風險 | 檢測項:全部檢查項。 操作說明:支援檢測、驗證、修複。 | 掃描、驗證或修複成功時均會消耗授權數。 |
攻擊路徑 | 支援 | 此功能為付費版CSPM的內建權益,不額外消耗授權數。 |
從這裡開始
購買及開通服務:授權並開通功能。
使用產品功能:
雲產品配置風險
接入雲產品:接入待檢查的雲產品。
設定並執行策略:設定並執行檢查策略。
處理風險項:查看並處理未通過檢查項
系統基準風險
設定並執行策略:設定並執行基準檢查策略。
處理風險項:查看並處理基準風險項。
攻擊路徑:攻擊路徑分析
常見問題
計費與授權
訂用帳戶模式可以轉為隨用隨付嗎?
不支援直接轉換,需等待資源套件到期或退訂後,才能開通隨用隨付。
重要退訂或到期後,原資源套件中未使用的授權數將被清零,無法轉移。
如果購買的授權數用完了怎麼樣?
訂用帳戶模式: 若剩餘授權數不足以完成整個掃描任務,任務會提前中止,系統僅展示授權數耗盡前已完成的檢查結果。請參考升級,及時進行版本升級或購買更多授權數。
隨用隨付模式: 沒有授權數限制。系統會根據實際使用量持續計費,保障所有任務都能完整執行。
功能使用
如何快速上手並使用CSPM進行安全強化?
開通與授權:開通CSPM服務,並按指引完成對雲產品系統管理權限的授權。
接入待查資產:將被檢查的雲產品執行個體(如ECS、RDS等)接入Security Center。
執行與修複:設定檢查策略並執行掃描。掃描完成後,根據風險報告和修複建議進行安全強化。
如何用Security Center提升資料庫的配置安全?
Security Center通過兩大功能,從不同維度保障資料庫安全:
雲安全態勢管理 (CSPM):
檢測範圍:檢查資料庫的外部配置風險。
檢查樣本:存取控制白名單是否過寬、是否已開啟自動備份和日誌審計功能等。
基準檢查:
檢測範圍:檢查資料庫所在伺服器的內部安全缺陷。
檢查樣本:資料庫登入帳號是否存在弱口令、伺服器配置是否遵循安全最佳實務等。
退訂關閉
如何關閉雲安全態勢管理(CSPM)功能?
免費版: 無需關閉。免費版僅提供有限的檢測功能,不涉及付費和授權數消耗。
訂用帳戶版: 參考降配,在訂單管理中心,將Security Center版本降級至不含CSPM功能的版本即可。
隨用隨付版: 在概述頁的隨用隨付服務地區,關閉雲安全態勢管理開關即可。