云安全中心支持对非阿里云服务器(包括第三方云服务器和IDC服务器)进行防护和管理。使用云安全中心对您的非阿里云服务器进行防护前,您需要先将非阿里云服务器资产接入云安全中心,才能将服务器资产信息同步到云安全中心进行安全防护。本文介绍如何进行多云配置管理。
接入多云资产
接入第三方云厂商的服务器资产后,该服务器信息会同步到资产中心,便于云安全中心统一防护和管理您的所有资产。
- 登录云安全中心控制台。
- 在左侧导航栏,选择。
- 在多云配置管理页签,单击多云资产,然后单击新增授权,在下拉列表中,选择需要接入的多云服务商。
- 在接入云外资产面板,按照指引完成对应云厂商的子账号的创建。根据需要接入的云服务商参考以下说明操作:
- 腾讯云、华为云、亚马逊云(AWS)支持选择快速配置方案和手动配置方案。
- 快速配置方案:通过获取到的第三方云服务器主账号AK(AccessKey),由云安全中心自动为您创建子账号AK,建立第三方服务器和云安全中心服务之间的连接。选择该方案后,接入步骤如下:
- 登录第三方服务器的管理控制台。
- 获取第三方云服务器主账号的AccessKey ID和Access Secret。
您可以在云安全中心控制台的接入云外资产面板,查看具体的操作引导。
说明 云账号默认不提供主账号AK信息,需要您手动创建AK。 - 返回云安全中心控制台,打开接入云外资产面板,选择快速配置方案,并单击下一步。
- 在提交AK向导页面,输入已获取的主账号AK信息,并单击下一步。
- 在策略配置向导页面,选择需要接入云安全中心防护的地域和新增地域接入的管理中心。
配置项 说明 选择地域 选择需要接入云安全中心防护的地域。 根据您在控制台左上角选择的云安全中心管理中心区域,云安全中心会将您的第三方云服务器接入对应的管理中心区域。
新增地域接入管理 选择新增地域是否接入云安全中心。 选中该项后,新增地域将默认接入当前所在的云安全中心管理中心区域,即控制台左上角所选择的云安全中心管理中心区域。不选中该项时,新增地域将不会被接入到云安全中心进行防护。
- 单击确定。
完成此步骤后,您的第三方云服务器会接入到云安全中心。后续该主账号AK所有子账号下新增的第三方云服务器将自动同步到云安全中心。
- 手动配置方案:由您手动创建第三方云服务器的子账号AK,建立第三方云服务器和云安全中心服务之间的连接。选择该方案后,接入步骤如下:
- 登录第三方服务器的管理控制台。
- 获取第三方云服务器子账号的AccessKey ID和Access Secret。
您可以在云安全中心控制台的接入云外资产页签,查看具体的操作引导。
说明 子账号默认不提供AK信息,需要您手动创建AK。 - 返回云安全中心控制台,打开接入云外资产面板,并选择手动配置方案,然后单击下一步。
- 在配置AK向导页面,输入已获取的子账号AK信息,并单击下一步。
- 在策略配置向导页面,选择需要接入云安全中心防护的地域和新增地域接入的管理中心。
配置项 说明 选择地域 选择需要接入云安全中心防护的地域。 根据您在控制台左上角选择的云安全中心管理中心区域,云安全中心会将您的第三方云服务器接入对应的管理中心区域。
新增地域接入管理 选择新增地域是否接入云安全中心。 选中该项后,新增地域将默认接入当前所在的云安全中心管理中心区域,即控制台左上角所选择的云安全中心管理中心区域。不选中该项时,新增地域将不会被接入到云安全中心进行防护。
- 单击确定。
完成此步骤后,您的第三方云服务器会接入到云安全中心。
- 快速配置方案:通过获取到的第三方云服务器主账号AK(AccessKey),由云安全中心自动为您创建子账号AK,建立第三方服务器和云安全中心服务之间的连接。选择该方案后,接入步骤如下:
- Azure
- 登录微软云虚拟机,安装Azure CLI插件。具体操作,请参见如何安装 Azure CLI。
- 插件安装完成后,在微软云虚拟机中执行以下命令。
- 世纪互联运营用户:
az cloud set -n AzureChinaCloud az login - 非世纪互联运营用户:
az login
- 世纪互联运营用户:
- 使用上一步获取的访问链接和code登录微软云管理控制台。
- 登录成功后,在微软云管理控制台获取
your-account-ID和your-subscription-ID的值,并执行以下命令。az ad sp create-for-rbac \ --name <your-account-ID> \ --role Contributor \ --scopes /subscriptions/<your-subscription-ID>参考以下表格中的说明获取相应参数。
参数名 说明 获取方式 your-account-ID 当前登录账号ID。 在用户页面,单击用户名称,在标识面板,根据您的微软云账号类型参考以下说明获取对应的ID。 - 世纪互联运营用户:获取颁发者分配的ID列的值。
- 非世纪互联运营用户:获取颁发者列的值。
your-subscription-ID 订阅ID。 在订阅页面,获取订阅ID列的值,选择任意一个订阅ID即可。 记录命令执行结果中的
appId、displayName、name、password和tenant。 - 返回云安全中心控制台,打开接入云外资产面板,单击下一步。
- 在提交AK向导页面,配置相关参数,并单击下一步。
配置项 描述 请输入appId 输入步骤4中获取的 appId。请输入password 输入步骤4中获取的 password。tenant 输入步骤4中获取的 tenant。SubscriptionId 输入在步骤4中从微软云管理控制台获取的 your-subscription-ID。Domain (世纪互联运营选中国版,其他选国际版) 选择需要接入的Azure虚拟机使用的版本。可选项: - 中国版:世纪互联运营用户选择该项。
- 国际版:非世纪互联运营用户选择该项。
- 在策略配置向导页面,选择需要接入云安全中心防护的地域和新增地域接入的管理中心。
配置项 说明 选择地域 选择需要接入云安全中心防护的地域。 根据您在控制台左上角选择的云安全中心管理中心区域,云安全中心会将您的第三方云服务器接入对应的管理中心区域。
新增地域接入管理 选择新增地域是否接入云安全中心。 选中该项后,新增地域将默认接入当前所在的云安全中心管理中心区域,即控制台左上角所选择的云安全中心管理中心区域。不选中该项时,新增地域将不会被接入到云安全中心进行防护。
- 单击确定。
完成此步骤后,您的第三方云服务器会接入到云安全中心。
- 腾讯云、华为云、亚马逊云(AWS)
- 在左侧导航栏,选择。在主机资产页面的服务器页签下,单击同步最新资产,立即将资产同步到云安全中心。说明 执行同步资产的操作后,完成资产同步需要一段时间。请您耐心等待,无需再次单击同步最新资产。
管理IDC探针
您可以通过创建IDC探针,检测并发现IDC服务器资产,并将发现的IDC服务器同步到云安全中心的资产中心模块中进行统一管理。
新增IDC探针
- 登录云安全中心控制台。
- 在左侧导航栏,选择。
- 在多云配置管理页签,单击IDC探针,然后单击新增探针。
- 在接入云外资产面板,设置IDC探针的信息,然后单击下一步。配置项说明:
- IDC机房:输入IDC探针扫描的服务器所在的机房名称。
- 网段设置:设置IDC探针需要扫描的网段。仅支持C类网段地址,即
192.168.0.0~192.168.255.255。 - 周期设置:在下拉列表中选择IDC探针扫描的间隔时间。
- linux端口:IDC探针扫描的Linux服务器的SSH端口。支持设置非标端口。
- windows端口:IDC探针扫描的Windows服务器的RDP端口。支持设置非标端口。
- 地域:该IDC服务器所在的地域信息,填写城市即可。此处填写的地域信息会展示在资产中心页面的服务器信息里。
- 在选择资产面板,选择需要执行扫描任务的服务器,然后单击确定。此处,您可以指定服务器来扫描和发现IDC资产。支持选择多台服务器。完成此步骤后,您将成功创建IDC探针。IDC探针将在您设置的扫描周期内,对指定网段范围内的IDC服务器进行扫描。探针扫描并发现了IDC服务器后,会将该服务器自动添加到云安全中心资产中心页面的服务器列表中。
停用IDC探针
查看扫描结果
您可以云安全中心控制台主机资产页面,在服务器和IDC探针发现页签 ,查看同步到云安全中心的非阿里云服务器资产详情和客户端安装状态。