無法直連Security Center的主機和容器如何接入Security Center - Security Center

針對無法直接連接到Security Center服務端的線下IDC（Internet Data Center）機房、混合雲、阿里雲VPC（Virtual Private Cloud）等業務情境，您可以通過設定Proxy 伺服器，將無法串連公網的伺服器（包括主機、容器）接入Security Center進行防護。本文介紹通過代理方式將伺服器接入Security Center。

適用情境

無法直連Security Center的阿里雲VPC

如果您的阿里雲VPC做了較多訪問限制，無法直接連接Security Center服務端，您可以選擇代理接入的方式，將Elastic Compute Service接入Security Center進行防護。

線下IDC機房

混合雲

使用限制

僅Linux伺服器可以作為Proxy 伺服器。

通過Proxy 伺服器接入Security Center的伺服器支援Security Center的大部分功能，但不支援使用以下表格中的功能。Security Center支援的完整功能特性詳情，請參見功能特性。

代理接入不支援的Security Center功能

功能模組	功能
資產中心	批量營運和CloudMonitor 容器資產雲產品網站
風險治理	資產暴露分析雲安全態勢管理說明如果您的雲產品屬於騰訊雲、AWS、Azure或華為雲，您可以通過AK方式接入對應的雲產品。更多資訊，請參見接入第三方雲資產。 AK泄露檢測
防護配置	防暴力破解說明僅AliNet外掛程式狀態為線上的伺服器支援該功能。
防護配置	防勒索

準備工作

準備一台或多台可以串連公網的伺服器作為Proxy 伺服器，且Proxy 伺服器滿足以下條件：
- 已預留足夠的網路頻寬。每接入一台伺服器，Proxy 伺服器需要預留10 Kbit/s的頻寬。例如，您需要在Proxy 伺服器下接入50台伺服器時，該Proxy 伺服器需要預留500 Kbit/s的頻寬。
- Proxy 伺服器已對需要串連的主機或容器開放80、443、8080連接埠。
- 如果您選擇多台伺服器作為代理，推薦您使用網域名稱接入，請確保您已申請Proxy 伺服器網域名稱，並且網域名稱可以解析為Proxy 伺服器的IP地址、負載平衡IP或VIP（虛擬IP地址）。
重要
- 單台8核 16 GB的Proxy 伺服器最多支援接入6000台主機或容器，請根據實際業務需要，合理準備Proxy 伺服器規格和數量。
- 如果您未使用網域名稱的方式接入，例如使用公網IP和Security Center服務端連通，出於串連穩定性考慮，推薦您使用多台伺服器搭建代理叢集。
混合雲情境，已打通第三方雲端服務器和阿里雲VPC的網路連接。

步驟一：建立代理叢集

登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。
在左側導覽列，選擇系統設定 > 功能設定。
在客户端 > 代理接入頁簽，單擊建立叢集。
在建立叢集對話方塊，配置叢集名稱、郵寄地址和備忘資訊，並單擊確定。
郵寄地址：輸入Proxy 伺服器的IP地址或網域名稱。組建叢集後，叢集中的主機或容器會通過Proxy 伺服器的郵寄地址串連Proxy 伺服器。
重要
- 郵寄地址設定為Proxy 伺服器的IP地址時，您只能設定一台Proxy 伺服器。建議在需要接入的主機或容器數量較少（例如僅需要接入5台）時使用該方式。
- 需要設定多台Proxy 伺服器時，推薦您使用網域名稱作為郵寄地址，並且確保網域名稱能被解析為Proxy 伺服器的IP地址、負載平衡IP或VIP（虛擬IP地址）。
- 建立叢集後，叢集名稱和郵寄地址不可修改，建議您輸入有實際含義的叢集名稱以及可訪問的郵寄地址。

步驟二：部署代理程式伺服器

在客户端 > 代理接入頁簽，在目的地組群的操作列單擊部署代理程式。
在部署代理程式伺服器面板，選擇部署模式並進行相應配置。
如果Proxy 伺服器已經安裝Security Center用戶端並且用戶端線上，您可以選擇快速部署代理程式。如果Proxy 伺服器中未安裝Security Center用戶端，您需要在Proxy 伺服器中手動部署代理程式。
- 快速部署
  選擇快速部署方式時，您需要在資產列表選擇需要作為Proxy 伺服器的Linux伺服器，然後單擊確定。
- 手動部署
  選擇手動部署方式時，您需要根據頁面資訊，複製手動部署命令，然後使用管理員帳號登入Proxy 伺服器，在命令列中執行手動部署命令。
完成部署約五分鐘後，您即可在客户端 > 代理接入頁簽查看Proxy 伺服器的線上狀態。

說明

部署代理程式伺服器後，如果Proxy 伺服器未安裝Security Center用戶端，該伺服器只具有代理服務的能力，無法使用Security Center提供的安全防護能力（例如漏洞檢測、基準檢查等）。如需使用Security Center防護Proxy 伺服器，您需要為Proxy 伺服器安裝Security Center用戶端。具體操作，請參見安裝用戶端。

步驟三：接入用戶端到代理叢集

建立叢集並完成Proxy 伺服器部署後，您可以將伺服器作為用戶端添加到代理叢集，實現伺服器通過代理接入Security Center防護。

重要

單台8核 16 GB的Proxy 伺服器最多支援接入6000台主機或容器。
無論您是通過選擇伺服器直接接入或通過安裝命令接入時，每批次最多隻能接入500台主機，且每批次的間隔時間需大於一分鐘。

在客户端 > 代理接入頁簽，在目的地組群的操作列單擊接入客戶端。

在接入客戶端面板，選擇接入模式並進行相應配置。

如果需要接入的伺服器已安裝Security Center用戶端並且用戶端線上，您可以通過選擇伺服器直接接入。如果需要接入的伺服器未安裝Security Center用戶端，您需要通過安裝命令手動接入。

通過選擇伺服器直接接入
在資產列表中，選擇需要接入的伺服器，單擊確定。

通過安裝命令手動接入

單擊前往產生安裝命令。
在客户端 > 安裝命令頁簽，單擊新增安裝命令。

在新增安装命令對話方塊，配置相關參數，並單擊確定。

配置項	說明
到期時間	安裝命令到期的時間。
服務商	伺服器所屬的服務提供者。
默认分组	伺服器在Security Center主機資產列表中的分組。
系統	伺服器的作業系統。
制作镜像系统	是否為伺服器製作鏡像，保持預設選項不。。
代理选择	選擇自建代理集群，並選擇需要接入的代理叢集。

在安裝命令列表，查看並複製安裝命令。
使用有管理員權限的帳號登入需要接入叢集的伺服器，根據伺服器的作業系統類型，執行安裝命令。
完成安裝五分鐘後，您可以單擊代理叢集的已串連客戶端列的數字查看通過代理已連線的服務器列表。

（可選）步驟四：配置代理叢集策略

Security Center預設將Proxy 伺服器採集的資料迴流至Security Center服務端，並且不限制迴流頻寬和資料轉送頻率。如果需要修改資料轉送方式，或限制迴流頻寬和資料轉送頻率，您可以參考以下步驟操作。

在客户端 > 代理接入頁簽，在目的地組群的操作列單擊代理設定。

在代理設定對話方塊，完成相關配置，並單擊確定。

資料轉送方式支援選擇迴流至管理中心和不迴流並緩衝到指定目錄。

傳輸方式

說明

迴流至管理中心

表示將資料轉送至Security Center服務端做風險排查和威脅檢測。

選擇該方式時，您可以手動設定Proxy 伺服器和Security Center服務端通訊的頻寬和頻率。可選項：

不限制：表示不限制Proxy 伺服器和Security Center服務端通訊使用的頻寬或頻率。
自訂：根據實際使用方式，設定Proxy 伺服器和Security Center服務端通訊使用的頻寬或頻率。

重要

建議您按照代理使用的頻寬和通訊相關進程不超過資源總量60%的原則，分別設定頻寬控制和頻率控制參數。

不迴流並緩衝到指定目錄

在您的業務網路（雲下IDC、專用網路等）中完成指定資料類型的風險排查和威脅檢測。

選擇該方式時，相關日誌預設儲存在Proxy 伺服器的/usr/local/aegis/proxy/log/export.log檔案，您可以手動修改緩衝目錄。

說明

緩衝目錄最大支援儲存10 GB。當實際儲存容量超過10 GB時，系統將迴圈覆蓋最早儲存的日誌。

常見問題

Security Center代理接入是否支援跨帳號接入？

不支援。您在阿里雲帳號A下建立代理叢集，不支援阿里雲帳號B下的Elastic Compute Service通過帳號A建立的代理叢集接入Security Center。

Security Center多帳號安全管理功能提供統一管理多個阿里雲帳號安全配置（包括資產接入）及安全風險處置的能力。建議您使用該功能。更多資訊，請參見多帳號安全管理。

Security Center：代理接入