通过在云安全中心接入Azure云资产,实现跨云资产的统一盘点、配置风险扫描(CSPM)和自动化安全响应。本方案利用Azure应用凭证,以读取安全地同步资产信息,构建统一的多云安全视图。
方案原理
在 Azure 中注册一个应用,并为其创建服务主体作为访问凭证。
云安全中心利用此凭证,通过 Azure 公共 API,获取对指定订阅的权限,实现对订阅范围内资产与配置信息的同步。
接入步骤
步骤一:在Azure创建应用凭证
此步骤在Azure门户中创建一个应用及其服务主体,并生成用于API认证的客户端密码。获取接入凭证:应用程序(客户端)ID、目录(租户)ID 和客户端密码的值。
创建应用
登录Azure控制台。
在左侧导航栏中,选择所有服务。在标识服务区域,单击应用注册或在顶部搜索栏搜索并进入应用注册。
在应用注册页面,单击新注册。
在注册应用页面,完成以下配置,然后单击注册。
名称:输入一个易于识别的名称,例如
aliyun-sasc-connector,以便后续搜索和管理。重要此名称将在后续“角色分配”步骤中作为成员名称显示。
受支持的账户类型:根据实际的权限要求,配置可访问此应用的账号范围。
应用创建成功后,页面会显示应用的概览信息。复制并妥善保存应用程序(客户端)ID 和 目录(租户)ID,后续步骤将会使用。
下载证书和密码
在步骤1创建的应用详情页,单击左侧导航栏管理下的AK泄露检测。
在客户端密码页签,单击+新客户端密码并参考如下说明完成配置。
说明:描述此密码的用途等。
截止期限:即客户端密码的有效期,推荐设置为180天。
重要请制定凭证轮换计划,在到期前更新,避免因凭证失效导致服务中断。
单击添加后,客户端密码的值会显示。
警告客户端密码的值仅在创建时可见一次,离开此页面后将无法再次查看。请立即复制并妥善保管,再进行后续操作。
步骤二:为应用凭证授予订阅访问权限
为确保云安全中心能够读取资产信息,需要为上一步创建的应用分配对Azure订阅的只读权限。
进入角色分配页
登录Azure控制台。
在左侧导航栏中,选择所有服务。在系统设置服务区域,单击订阅。在顶部搜索栏搜索并进入订阅。
单击目标订阅名称,进入订阅详情页。在详情页,单击访问控制。
说明若尚未开通,请先创建订阅,根据业务情况选择产品服务。
在访问控制页,单击左上角的添加下的添加角色分配。
分配角色:在角色分配页面,选择相应的角色后,单击下一步。
功能
角色
备注
主机资产
读者
无
云安全态势管理(CSPM)
读者
无
Agentic SOC
读者
自定义角色:需包含
Microsoft.Network权限,创建步骤请参见Azure高级配置(Agentic SOC)。
为实现自动化威胁响应(如通过响应编排联动 Azure 云防火墙),需额外授予
Microsoft.Network权限。更多说明,请参见云外组件(OpenAPI)。重要需按不同角色分别完成分配,Azure每次只能分配一个角色。
无代理检测
读者
磁盘快照参与者
无
添加成员:进入成员管理界面,单击新增访问密钥,并选择步骤一中创建的应用。
说明可按应用名称快速搜索定位至目标应用。
确定成员后,单击左下角的审阅和分配,即可完成授权。
说明授权可能需要一点时间,请耐心等待。
步骤三:在云安全中心完成接入配置
进入授权页面
推荐路径:
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在页签,单击新增授权,然后选择Azure。
其他入口:
在以下页面的多云产品接入或多云资产接入区域,找到并单击
图标下方的接入或授权按钮:
配置接入凭证
在接入云外资产面板,勾选需要接入的功能后,单击下一步,
主机资产:允许云安全中心自动发现并同步Azure主机资产。
云安全态势管理:使用云安全态势管理功能扫描Azure云产品的配置,发现并管理配置风险。
Agentic SOC:配合响应编排的剧本编排功能,实现自动化处理安全事件威胁。更多说明,请参见云外组件(OpenAPI)。
主机防护无代理检测:通过快照扫描技术检测Azure虚拟机的安全风险,包括漏洞、基线、恶意文件等,无需安装客户端。
在提交AK页面,准确填写在创建的凭证信息
请输入appId:对应Azure应用注册获得的应用程序(客户端) ID。
请输入password:对应Azure应用注册获得的客户端密码。
tenant:对应Azure应用注册获得的目录(租户)ID。
Domain (中国区选中国版,其他选国际版):世纪互联用户请选择中国版。
配置同步策略
在策略配置页面,根据管理需求进行设置:
选择地域:选择需要接入的 Auzre 资产所属的地域。
说明资产数据会自动归属在云安全中心控制台左上角选择的地域对应的数据中心。
中国内地:中国内地数据中心。
非中国内地:新加坡数据中心。
新增地域接入管理:建议勾选。勾选后,该AWS账号下未来新增地域内的资产将自动同步,无需手动添加。
主机资产同步频率:设置自动同步Auzre主机资产的周期。如不需同步,可设为“关闭”。
说明仅接入的功能包含主机资产时,需要配置该参数。
云产品同步频率:设置自动同步 Auzre 云产品配置的周期。如不需同步,可设为“关闭”。
说明仅接入的功能包含时云安全态势管理,需要配置该参数。
AK服务状态检查:设置云安全中心自动检查 Auzre 账号凭证有效性的时间间隔。可选“关闭”,表示不进行检测。
完成配置后,单击同步最新资产,系统将自动将Azure账号下的数据同步到云安全中心。
Azure高级配置(Agentic SOC)
更多操作信息,请参考Azure官方文档网络中的 Azure 权限、创建自定义角色。
进入角色创建页
登录Azure控制台。
在左侧导航栏中,选择所有服务。在系统设置服务区域,单击订阅。
说明或在顶部搜索栏搜索订阅后,直接单击进入。
单击目标订阅名称,进入订阅详情页。在详情页,单击访问控制(标识和访问管理)。
在访问控制页,单击左上角的添加下的添加自定义角色。
填写基本信息
自定义角色名称:输入一个易于识别的名称,例如
aliyun-agentic-soc-role,以便后续搜索和管理。基线检查:从头开始。
分配权限
在权限页签,单击添加权限
在顶部搜索权限
Microsoft.Network后,单击权限名称。在权限列表页,勾选操作下所有权限后,单击添加。
配置权限后,单击查看和创建。确认信息后,单击确认。
管理使用已接入的资产
主机资产
前往页面,在多云资产接入区域单击
图标,可查看接入的Azure主机。可参考如下步骤,对已接入的主机,进行深度防护和管理。
更多信息,请参考管理服务器。
安装客户端:为Azure 主机安装云安全中心客户端,在执行安装命令时,服务商需选择 Azure。详细步骤,请参考安装客户端。
升级版本获取防护:默认的免费版仅提供基础安全检测。为获得完整的安全防护能力(如防病毒、漏洞修复、入侵防御等),请为 Azure 主机绑定付费版本(防病毒版及以上),具体操作,请参考管理主机及容器安全授权数。
云安全态势管理(CSPM)
前往页面,左侧全部云产品导航中,单击Azure,可查看接入的Azure资产。已接入的 Azure 资产可使用CSPM如下功能:
更多信息,请参考查看云产品信息。
执行配置风险检查:检查Azure产品中是否存在配置风险,具体操作,请参考设置并执行云平台配置风险检查策略,
处理风险项:根据检查结果,查看并修复未通过的风险检查项,提升云上资产的合规性与安全性。具体操作,请参考查看并处理未通过的云平台配置风险检查项。
Agentic SOC
前往中,创建自定义剧本时,可选择云外组件(OpenAPI)中的Azure组件,对检测出的Azure资产安全事件,实现自动化处理。
主机防护无代理检测
前往,在主机安全检测、主机安全检测、自定义镜像安全检测页签的多云资产接入区域单击图标,可查看接入扫描出的风险项。操作说明如下:
执行检测任务:对Azure服务器中是否存在漏洞、恶意软件、配置基线、敏感文件等多维度安全检测,发现潜在的安全风险。
分析与处理风险:
漏洞风险:支持加白名单。
警告无代理检测不支持修复漏洞。
基线检查项风险:支持加白名单。
恶意样本风险和敏感文件风险:支持加白名单、手动处理、标记误报、忽略。
成本与风险说明
成本说明:云安全中心的默认免费版仅提供基础安全检测。要获得完整的安全防护能力,如防病毒、漏洞修复、入侵防御等,需为接入的Azure主机绑定付费版本(防病毒版及以上)的授权。
风险说明:
客户端密码为连接 Azure 与云安全中心的重要凭证。一旦泄露,可能导致资产数据被非授权访问。
密码过期则会中断资产同步与安全检测,请务必妥善保管,并制定定期轮换计划。
常见问题
为什么在云安全中心看不到部分接入的Azure资源?
区域未选择:在云安全中心的接入配置中,检查是否已勾选该资源所在的Azure地域。
同步延迟:首次接入或配置变更后,资产同步可能存在一定延迟,请等待同步完成。
填写完AK后,自动校验凭证和权限失败怎么办?
权限问题:Azure应用的客户端密码过期,请参考下载证书和密码,重新创建并保存客户端密码后,更新至阿里云云安全中心对云配置。
地域问题:当前选择的地域不可用,请切换至其他可用地域或对应 Domain,然后重新提交。