云平台配置检查 - 云安全中心

云产品配置错误或操作不当可能会导致云产品被攻击，为此，云安全中心提供云平台配置检查功能，支持从多维度检测云产品的配置问题和安全风险，降低因配置错误导致的风险，提升云产品安全性。本文介绍如何使用云平台配置检查功能。

背景信息

云安全中心支持通过CIEM、安全风险和合规风险维度检测云产品的配置问题和安全风险，并根据不同的风险等级进行数据统计展示，方便您了解云产品的配置风险概况。同时，云安全中心针对每个风险项，为您提供相应的优化建议和修复方案，协助您更好地管理云资源和保障业务运行安全。

CIEM、安全风险和合规风险维度的详细介绍，请参见下表。

检测维度	说明
CIEM	云基础设施授权管理CIEM（Cloud Infrastructure Entitlements Management）是一种集合了云安全评估技术和授权管理的服务，用于管理和控制云平台的使用和访问权限。云安全中心基于CIEM技术对云平台进行身份权限管理，支持检测用户账号是否存在过度授权、密码过期等问题，帮助您及时发现并解决授权管理方面的问题，提高云平台的安全性和可靠性。
安全风险	最佳安全实践是云厂商在多年的安全实践中总结出来的一系列安全措施和方法，旨在最大限度地保护用户的数据和业务安全。云安全中心基于不同云厂商的最佳安全实践，通过对业务系统的安全配置、代码漏洞、日志配置等进行检测，找出云平台可能存在的安全配置风险，确保您的数据和业务得到最大的保护。
合规风险	CIS（Center for Internet Security）国际标准是由CIS开发的一系列信息安全相关标准，是国际公认的保护IT系统和数据免受网络攻击的安全标准。云安全中心基于CIS国际标准，支持对云平台进行全面的合规风险检测和管理，识别出不符合CIS国际标准的风险配置，方便您及时修复，从而提高云产品的网络安全性，降低网络攻击风险。

计费说明

自2023年07月07日起，您需要购买云平台配置检查扫描次数后才可使用该功能。

项目	说明
计费方式	按每个云产品实例的每个检查项的扫描次数收费，计费公式为：*云平台配置检查费用=售卖价格扫描次数购买时长。说明 “实例”指一个特定的网络设备或应用程序实例，例如对象存储OSS中的Bucket、ECS服务器的安全组等。如何查看云产品的实例个数* 您可以在云安全中心控制台的资产中心 > 云产品页面，查看当前阿里云账号下的实例个数，如下图所示。售卖价格：0.02美元/次/月（1000次起售）。扫描次数：根据每个云产品实例执行每个检查项扫描的次数计算。建议您按照实例个数的20倍购买云平台配置检查扫描次数，以免出现扫描次数不足需要重新扫描的情况。例如，您一共有10个云产品，每款云产品中包含15个实例，此时，建议您购买的扫描次数=101520=3000次。购买时长：按云安全中心服务的购买时长计算。
扣除规则	开通云平台配置检查后，您每次执行云平台配置检查扫描时，均会消耗扫描授权数。*每次扫描任务消耗的扫描授权数=扫描的实例总数选中的检查项个数*。例如，您一共有10个云产品，每款云产品中包含15个实例，在某次扫描任务中，您一共选择了5个检查项（每个实例均执行5个检查项扫描），则该次扫描任务需要消耗的扫描授权数=1015*5=750次。说明如果在某次扫描任务中，您已购买的扫描授权数不够抵扣，则超过授权数的检查项扫描将不会执行。您可以通过任务扫描结果查看任务执行情况。
免费使用	如果您的云安全中心在2023年07月07日之前已经授权了云平台配置检查，您可以免费使用云平台配置检查的部分检查项，直到您的云安全中心服务到期。如果您在云安全中心服务到期释放前完成续费，您仍可以继续免费使用部分检查项。点击查看免费使用的详细说明不同云安全中心版本支持免费使用的云平台配置检查项数量如下：免费版：25个。防病毒版、高级版：46个。企业版、旗舰版：218个。具体支持检测的检查项，请以云安全中心控制台的风险管理 > 云平台配置检查页面显示为准。免费使用的检查项不会新增，如果您希望使用更多的检查项，需要另外购买云平台配置检查的扫描授权数。具体操作，请参见购买云安全中心。购买云平台配置检查的扫描授权数后，历史扫描数据仍会保留，并且您可以自定义选择需要扫描的检查项。重要购买云平台配置检查的扫描授权数后，当您执行云平台配置检查时，并且云安全中心会根据您选择的每个云产品实例的每个检查项按次计费，不再支持免费使用检查项。

前提条件

已购买云安全中心防病毒版、高级版、企业版或旗舰版，并且已购买足够的云平台配置检查扫描授权数。具体操作，请参见购买云安全中心。
您可以在风险管理 > 云平台配置检查页面查看云平台配置检查的剩余授权数。如果剩余授权数不够，您可以单击扩容，购买更多授权数。
扫描第三方云资产之前，您需要将第三方云资产接入云安全中心。具体操作，请参见接入第三方云资产。

步骤一：授权云平台配置检查

首次使用云平台配置检查功能时，您需要先授权。授权完成后，云安全中心会创建服务关联角色AliyunServiceRoleForSasCspm，用来允许云安全中心访问您在操作审计等云产品中的资源，以便云平台配置检查功能为您提供云平台配置检测能力。

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在左侧导航栏，选择风险管理 > 云平台配置检查。
在云平台配置检查页面，单击立即授权。

（可选）步骤二：修改检查项配置

云安全中心支持修改部分检查项的检测规则，例如OSS-Bucket防盗链配置、闲置用户清理、密码有效期等检查项。您可以根据实际业务需要修改检测规则，使检测结果更加准确并符合您的需求。

在左侧导航栏，选择风险管理 > 云平台配置检查。
在云平台配置检查页面，单击检查项名称。
在检查项详情面板，单击修改检查项配置。
检查项详情面板有修改检查项配置按钮，表示该检查项的配置支持修改。如果没有该按钮，表示该检查项的配置不支持修改。
在修改检查项配置面板，在可修改参数列单击+新增可修改参数，在下拉列表中选择需要修改的参数并设置编辑参数，单击确定。
修改的检测规则会立即生效，在下一次执行云平台配置检查后，即可查看检查结果。

步骤三：执行云平台配置检查

云平台配置检查支持全量扫描和按策略扫描。

在左侧导航栏，选择风险管理 > 云平台配置检查。
在云平台配置检查页面，进行云平台配置检查。
- 全量扫描
  如果您想立即了解云产品配置是否存在安全风险，您可以在云平台配置检查页面，选择立即扫描 > 全量扫描，对云产品配置进行全量检查。
- 按策略扫描
  设置云平台配置检查策略后，云安全中心会在您设置的时间内执行云平台配置检查；您也可以手动选择按策略扫描云产品。
  1. 在云平台配置检查页面右上角，单击检查策略设置。
  2. 在检查策略设置面板，开启云平台配置自动检测。
  3. 配置云平台配置检查的检查周期：、检查时间：以及选择要检查的安全风险检测项，然后单击确定。
  4. （可选）在云平台配置检查页面，选择立即扫描 > 按策略扫描。
    云安全中心将立即按照您设定的策略，扫描云产品配置。
说明
云产品配置全量扫描会持续一段时间，请耐心等待。

步骤四：查看云平台配置检查结果

在左侧导航栏，选择风险管理 > 云平台配置检查。
在云平台配置检查页面，查看云平台配置检查项结果。
- 查看总览
  在云平台配置检查页面上方的总览区域，您可以查看CIEM、安全风险和合规风险检查项的通过率。将鼠标悬停在通过率线段上，可查看云产品配置检查结果存在的高危、中危、低危以及通过的检查项数量。
  说明
  不同的风险等级使用不同颜色表示。
  高危：红色。表示该风险项对您资产的危害较大，建议您尽快处理。
  中危：橙色。表示该风险项对您资产的危害一般，您可以延后处理。
  低危：灰色。表示该风险项对您资产的影响较小，您可以延后处理。
- 查看目标风险项
  - 在左侧全部检查项列表，单击目标检查项的类型，然后在右侧的风险项列表，查看与该检查项相关的风险项列表。
  - 通过列表上方提供的风险项的筛选组件，通过风险项的等级、状态等维度，筛选出您想要查看的目标风险项。
- 查看目标风险项的详情
  在目标风险项的操作列，单击详情，展开检查项的详情面板，查看该检查项的检查项说明、处置方案、帮助资源以及威胁影响。

步骤五：处理云平台配置检查结果

在左侧导航栏，选择风险管理 > 云平台配置检查。
在云平台配置检查页面，处理检查出的风险项。
您可以根据需要进行以下操作：
- 修复风险项
  在目标风险项的操作列单击详情。在风险项详情面板的威胁影响区域，单击存在风险的云产品实例ID（或账号ID、策略名称等），跳转至对应的云产品实例管理控制台。然后根据风险项详情面板上提供的处置方案及帮助资源信息，修复该云产品配置中存在的安全风险。
- 加白名单
  重要
  将风险项加入白名单后，后续云平台配置检查中，将不会再上报与该风险项对应的检查项相关的风险。请您在确认风险项无安全风险后，再将检查项加入白名单。
  如果您判断检查出的某个风险项没有安全风险，您可以在目标风险项的操作列单击加白名单，将该风险项状态调整为已加白。加白后的风险项将不会包含在风险项总数中。
  对于加白后的目标风险项，您可以在操作列单击取消加白，将已加白的风险项移出白名单。
验证修复结果。
如果您已按照风险项详情面板上提供的修复建议，修复了云产品的配置。您可以通过以下方式，验证新的配置是否有安全风险：
- 单个验证：在目标风险项的操作列单击验证。
- 批量验证：选择多个风险项后，在列表下方单击验证。
修改后的云产品实例配置在经过验证且通过检查后，该实例会从威胁影响区域的受影响实例列表中移除，并且该风险项的状态会变为已通过。