为了帮助云安全中心用户快速启用主机及容器安全、威胁分析与响应CTDR(Cloud Threat Detection and Response)、云安全态势管理、无代理检测和Serverless安全等按量付费服务,云安全中心支持在控制台弹框中一键开通这些功能,并支持一键配置上述功能的推荐防护策略。本文介绍这些功能默认的一键接入策略及计费说明。
选中开启一键接入策略,并单击立即开通并授权后,全部服务器绑定防护等级主机全面防护或主机及容器全面防护、全部Serverless资产绑定授权、CTDR推荐的日志接入策略、云安全态势管理和无代理检测的周期性扫描等推荐策略会默认执行。
云安全中心会按照一键接入策略开启防护,绑定相应授权、接入对应的日志并执行相应的扫描和检测。
云安全中心将按照基础服务费和对应功能的计费规则以自然日为统计周期生成费用账单。为了避免产生超出预期的费用,请您务必仔细阅读并理解一键接入策略内容后再开启该功能。
一键接入策略说明
主机及容器安全
完成开通和授权操作后,云安全中心主机及容器安全功能会自动为当前阿里云账号下的所有服务器绑定防护等级:主机全面防护或主机及容器全面防护。
运行容器环境的服务器资产(包括阿里云 ACK 集群节点、智能计算灵骏、自建 K8s集群接入的服务器)会自动绑定防护等级主机及容器全面防护,其余资产自动绑定防护等级主机全面防护。
后续,您可以在云安全中心控制台总览页面,通过授权管理入口,更换服务器绑定的防护等级。具体操作,请参见管理主机及容器安全授权数。
新增主机默认绑定的防护等级为未防护,建议您通过授权管理功能设置新增主机自动绑定的防护等级。
Serverless安全
完成开通和授权操作后,云安全中心Serverless安全功能会自动为当前阿里云账号下的所有Serverless资产绑定授权。
对于托管版与专有版容器集群ACK、ACK Serverless集群、ACS集群创建的ECI资产,必须完成安装并启动云安全中心客户端,才能使用云安全中心提供的Serverless安全防护能力。具体操作,请参见1. 为待防护的ECI Pod安装并启动云安全中心客户端。
后续,您可以云安全中心控制台页面,通过授权管理入口,管理资产的绑定状态。具体操作,请参见3.2. 绑定或解绑授权资产。
应用防护
完成开通和授权操作,即开通应用防护按量付费功能。您需前往控制台应用防护页面,手动接入应用进程实例。具体操作,请参见接入应用防护。
恶意文件检测SDK
完成开通和授权操作后,云安全中心恶意文件检测功能会自动添加检测策略(Auto_Create_Config),对当前阿里云账号下所有OSS Bucket中未检测的新增文件(开启按量付费后新增或更新的文件)进行周期性检测(每天一次),该策略默认设置的是不解压和不解密检测。
您可以在页签,单击策略管理区域的策略配置,查看和修改策略Auto_Create_Config的文件检测类型、解压层级、文件解密类型和生效Bucket。
云安全态势管理
从未开启过云安全态势管理周期性扫描策略的用户:
扫描频率:每天一次,具体检查时间系统会随机生成。
扫描范围:
对安全实践中常见的高危风险配置进行检查,包括安全防护配置不当、高危端口暴露、白名单开放公网、数据公共读写、身份认证和特权权限的风险检查等,这些检查可提升云产品和云平台的安全性。
您可以在云安全中心控制台页面策略管理面板查看默认扫描的检查项。已选中的检查项,即为推荐策略的扫描范围。
开启过云安全态势管理周期性扫描策略的用户:
扫描频率:与历史配置一致。
扫描范围:历史配置的检查项与上述推荐扫描范围所包含检查项的并集。
漏洞修复
完成开通和授权操作后,即开通漏洞修复按量付费功能。您需前往云安全中心控制台漏洞管理页面,查看并手动一键修复漏洞。更多信息,请参见查看和处理漏洞。
无代理检测
从未开启过无代理检测周期性扫描策略的用户:
扫描频率:每周一次,若配置于周一,则每周一进行扫描;若配置于周二,则每周二进行扫描。
扫描范围:免费版或客户端离线的服务器。
开启过无代理检测周期性扫描策略的用户:
扫描频率:与历史配置一致。
扫描范围:免费版或客户端离线服务器与历史配置的并集。
威胁分析与响应
完成开通和授权操作后,云安全中心CTDR功能将为您自动接入下表中的阿里云产品和日志源。
如果您的云安全中心的版本为免费版或仅采购增值服务版,系统将不会接入操作审计事件日志。
序号 | 阿里云产品 | 数据源名称 | 标准化规则名称 | 标准化方式 | 标准化分类/结构 | 支持的安全能力 |
1 | 云安全中心 | DNS请求日志 | 主机DNS请求日志标准化规则 | 扫描查询 | 主机日志-进程请求DNS日志 |
|
2 | 基线日志 | 基线日志标准化规则 | 扫描查询 | 安全日志-主机基线日志 |
| |
3 | 登录流水日志 | 登录流水日志标准化规则 | 扫描查询 | 登录日志-主机登录日志 |
| |
4 | 网络连接日志 | 网络连接日志标准化规则 | 扫描查询 | 主机日志-进程网络外联日志 |
| |
5 | 进程启动日志 | 进程启动日志标准化规则 | 扫描查询 | 主机日志-进程启动日志 |
| |
6 | 安全告警日志 | 安全告警日志标准化规则 | 实时消费 | 安全日志-其他告警日志 | 预定义剧本 | |
7 | 漏洞日志 | 漏洞日志标准化规则 | 扫描查询 | 安全日志-漏洞日志 |
| |
8 | Web应用防火墙 | WAF告警日志 | WAF告警日志标准化规则 | 实时消费 | 安全日志-Web应用防火墙告警日志 |
|
9 | WAF全量/拦截/拦截和观察日志 | WAF全量/拦截/拦截和观察日志标准化规则 | 实时消费 | 网络日志-HTTP日志 |
| |
10 | 云防火墙 | 云防火墙告警日志 | 云防火墙告警日志标准化规则 | 实时消费 | 安全日志-防火墙告警日志 |
|
11 | 操作审计 | 操作审计事件日志 | 操作审计事件日志标准化规则 | 实时消费 | 审计日志-云平台操作审计日志 |
|
计费说明
基础服务费
当您开启云安全中心任何一项按量付费功能时,系统将收取基础服务费。
开通任一项按量付费服务后,即可使用钉钉机器人、安全报告、任务中心(需先开通或购买漏洞修复功能)。
计费规则:
价格:0.05元/小时。
计费方式:根据按量付费服务开启的时长计费,按自然日进行结算。
计费粒度:最小计费单位为小时。在单个自然日内,开启时长不足1小时的,按1小时计算。
主机及容器安全
开通主机及容器安全按量付费后,费用基于对应防护等级绑定的服务器数量和实际防护时长(仅在客户端在线状态下计算时间)以秒为单位累计,按自然日进行结算。
防护等级 | 价格 | 月费用(30天参考价) |
病毒防护(原防病毒版) | 0.00000289元/核/秒 | 7.5元/核/月 |
高级版(不支持新增绑定) | 0.000034722元/台/秒 | 90元/台/月 |
主机全面防护(原企业版) | 0.000086806元/台/秒 | 225元/台/月 |
主机及容器全面防护(原旗舰版) | 0.000086806元/台/秒+0.00000289元/核/秒 | 225元/台/月+7.5元/核/月 |
Serverless安全
开通Serverless资产并完成授权后,Serverless防护采用按量计费模式,按照已授权绑定且客户端在线的资产每秒的计算核数进行阶梯累计计费,计费规则如下表。系统会根据已授权绑定资产每天的计算核数总量,在次日生成账单。更多信息,请参见计费概述。
区间使用量(核/秒) | 区间价格(元/核/秒) | 费用计算公式(U为一天内使用量,单位为核/秒) |
0~200,000,000 | 0.00002 | 0.00002×U(元) |
200,000,001~1,000,000,000 | 0.000015 | 0.000015×(U-200,000,000)+0.00002×200,000,000(元) |
1,000,000,001~9,999,999,999,999 | 0.00001 | 0.00001×(U-1,000,000,000)+0.000015×800,000,000+0.00002×200,000,000(元) |
应用防护
开通应用防护按量付费后,系统会统计每分钟(0~60秒)在线的所有实例数量,按照0.0014元/实例/分钟以自然日为单位计费。
恶意文件检测SDK
使用恶意文件检测SDK功能会按照检测的文件个数计算文件检测次数进行收费。开通恶意文件检测按量付费后,按照0.0015元/次以自然日为单位计费。
云安全态势管理
云安全态势管理按每个资产实例的每个检查项的授权数计费。授权数指每个资产实例对每个检查项分别进行扫描、验证或修复成功的次数。
“实例”指一个特定的网络设备或应用程序实例,例如对象存储OSS中的Bucket、ECS服务器的安全组等。
云安全中心默认提供80+条检查项供免费使用,免费使用的检查项不计算扫描次数。推荐扫描策略具体的检查项列表,请参见云安全态势管理周期性扫描推荐策略。
云安全态势管理支持包年包月付费(预付费)和按量付费两种模式,具体费用如下:
预付费用为:售卖价格*授权数(云安全态势管理的购买数量)*购买时长(按云安全中心实例的购买时长计算)。
授权数
价格(元/次/月)
0~100,000
0.0065
100,001~500,000
0.005
大于500,000
0.0045
按量费用为:售卖价格*授权数。
按照授权数阶梯计费,以自然日为单位计费。
授权数
价格(元/次)
费用计算公式(Z为一天内使用的授权数,单位为次数)
0~100,000
0.0065
0.0065×Z(元)
100,001~500,000
0.0052
0.0052×(Z-100,000)+0.0065×100,000(元)
大于500,000
0.0032
0.0032×(Z-500,000)+0.0052×400,000+0.0065×100,000(元)
漏洞修复
开通漏洞修复按量付费后,按照2元/次以自然日为单位计费。更多信息,请参见漏洞修复次数计算规则。
无代理检测
威胁分析与响应
CTDR按照您接入产品的日志量和存储在日志管理中的数据容量收取相应费用。
包年包月计费:
日志接入流量:采用阶梯到达计费,起售量100 GB/天,购买步长为100 GB/天。具体计费价格如下(X为一天内接入的流量):
X=100 GB:3元/GB/天
200 GB<=X<9,999,999,999 GB:2.8元/GB/天
日志存储容量:0.5元/GB/月(1,000 GB起售,购买步长为1,000 GB)
按量计费:按照每天产品接入的日志流量进行阶梯累计计费,最终每天的账单为各用量区间产生的费用之和。
说明威胁分析与响应按量计费的最小计费单位为GB,不足1GB的部分,按照1GB计费。
日志接入流量区间(GB/天)
价格(元/GB)
费用计算公式(Y为一天内接入的流量,单位为GB)
1~10
15
15×Y(元)
11~50
10
10×(Y-10)+15×10(元)
51~100
9
9×(Y-50)+10×40+15×10(元)
>100
8
8×(Y-100)+9×50+10×40+15×10(元)
常见问题
推荐策略启用后可以修改吗?
可以。
修改服务器绑定的防护等级的具体操作,请参见管理主机及容器安全授权数。
修改Serverless资产授权绑定关系的具体操作,请参见3.2. 绑定或解绑授权资产。
修改恶意文件检测SDK对于OSS文件默认检测策略的具体操作,请参见恶意文件检测SDK。
修改云安全态势管理周期扫描策略的具体操作,请参见设置并执行检查策略。
修改无代理检测扫描策略的具体操作,请参见无代理检测。
修改CTDR产品接入日志类型的具体操作,请参见产品接入。