腾讯云资产接入指南

为阿里云云安全中心提供腾讯云子账号API密钥后,云安全中心可通过访问腾讯云API将腾讯云主机、云产品等云资源统一接入云安全中心的安全防护体系。本文详解通过提供腾讯云子账号API密钥方式完成腾讯云资产接入的具体配置流程,实现跨云资产的集中安全管控,降低多云环境下的安全管理复杂度。

配置方案说明

配置方案支持的功能

配置方案

方案说明

支持的功能

手动配置方案

自行在腾讯云创建子账号并授权所需权限,之后在云安全中心提交子账号API密钥完成接入。

  • 主机资产

  • 云安全态势管理-云产品配置

  • 威胁分析与响应

    重要

    仅适用于威胁分析与响应1.0架构(不适用于2.0)。

快速配置方案

提交主账号API密钥后,云安全中心自动创建子账号并完成接入授权。

主机资产

配置流程

手动配置方案

image

快速配置方案

image

重要

本文包含的所有在腾讯云控制台的操作步骤仅供参考,具体操作步骤请参见下文中的腾讯云文档链接。

手动配置方案

1. 创建子账号并完成授权

具体操作,请参见新建子用户子用户权限设置

  1. 登录腾讯云控制台,进入用户列表页面。

  2. 用户列表页面,单击新建用户,并选择快速创建

    image

  3. 快速新建用户页面,输入用户名;单击访问方式列下的image图标,修改访问方式为编程访问,单击确定

    image

  4. 单击用户权限列下的image图标,根据您需要使用的功能,配置下述功能对应的权限,配置完成后单击确定

    • 主机资产:QcloudCVMReadOnlyAccess-云服务器(CVM)相关资源只读访问权限。

    • 云安全态势管理-云产品配置:

      使用云安全态势管理功能时,您可以选择预设策略或自定义策略中的一种完成授权。

      预设策略

      使用预设策略时,您需要为正在创建的用户授予下述权限。

      • CloudResourceReadOnlyAccess:该策略允许只读访问账户内所有云服务,除财务相关和部分CAM接口(如子用户属性、密钥、用户组等)。

      • QcloudCamReadOnlyAccess:用户与权限(CAM)只读访问权限。

      自定义策略

      重要

      如果云安全中心的云安全态势管理功能新增了检查项,必须及时更新对应的自定义策略,否则会无法检测新增的检查项。请谨慎使用自定义策略授权。

      若需对云安全中心访问腾讯云资产的权限进行精细化管控,可借助自定义策略授权的方式,实现细粒度的权限管理,对操作类型、资源范围等进行灵活限定,从而在保障腾讯云资产安全的同时,确保权限分配的合理性与灵活性。操作步骤如下:

      单击新建自定义策略,新建一个名为cspmPolicy的自定义策略。然后为正在创建的用户授权该策略。具体操作,请参见通过策略语法创建自定义策略。策略内容中元素配置的详细说明,请参见元素参考

      cspmPolicy策略内容

      {
      	"version": "2.0",
      	"statement": [{
      			"effect": "allow",
      			"action": [
      				"cam:DescribeRoleList",
      				"cam:DescribeSafeAuthFlagColl",
      				"cam:GetPolicy",
      				"cam:GetRole",
      				"cam:GetRolePermissionBoundary",
      				"cam:GetUser",
      				"cam:GetUserPermissionBoundary",
      				"cam:ListAccessKeys",
      				"cam:ListAttachedRolePolicies",
      				"cam:ListAttachedUserAllPolicies",
      				"cam:ListCollaborators",
      				"cam:ListUsers"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"cbs:DescribeDiskAssociatedAutoSnapshotPolicy",
      				"cbs:DescribeDisks",
      				"cdb:DescribeAccountPrivileges",
      				"cdb:DescribeAccounts",
      				"cdb:DescribeAuditConfig",
      				"cdb:DescribeBackupConfig",
      				"cdb:DescribeDBFeatures",
      				"cdb:DescribeDBInstances",
      				"cdb:DescribeDBSecurityGroups"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"clb:DescribeLoadBalancers",
      				"clb:DescribeTargetHealth",
      				"clb:DescribeTargets"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"cvm:DescribeInstances"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"cwp:DescribeAssetMachineDetail"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"dcdb:DescribeDCDBInstances"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"es:DescribeInstances"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"mariadb:DescribeAccountPrivileges",
      				"mariadb:DescribeAccounts",
      				"mariadb:DescribeBackupTime",
      				"mariadb:DescribeDBInstanceDetail",
      				"mariadb:DescribeDBInstances",
      				"mariadb:DescribeDBSecurityGroups"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"postgres:DescribeBackupPlans",
      				"postgres:DescribeDBInstanceSecurityGroups",
      				"postgres:DescribeDBInstances"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"redis:DescribeAutoBackupConfig",
      				"redis:DescribeDBSecurityGroups",
      				"redis:DescribeInstanceMonitorTopNCmd",
      				"redis:DescribeInstances"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"region:DescribeRegions"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"ssl:DescribeCertificate",
      				"ssl:DescribeCertificates"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"tcr:DescribeInstances",
      				"tcr:DescribeRepositories"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"vpc:DescribeNetworkAcls",
      				"vpc:DescribeSecurityGroupPolicies",
      				"vpc:DescribeSecurityGroups",
      				"vpc:DescribeSubnets"
      			],
      			"resource": [
      				"*"
      			]
      		},
      		{
      			"effect": "allow",
      			"action": [
      				"mysql:DescribeDBInstances"
      			],
      			"resource": [
      				"*"
      			]
      		}
      	]
      }
    • 威胁分析与响应:单击新建自定义策略,新建一个名为siemPolicy的自定义策略。然后为正在创建的用户授权该策略。具体操作,请参见通过策略语法创建自定义策略

      siemPolicy策略内容

      {
          "statement": [
              {
                  "action": [
                      "cfw:DescribeAclApiDispatch",
                      "cfw:DescribeBorderACLList",
                      "cfw:CreateAcRules"
                  ],
                  "effect": "allow",
                  "resource": [
                      "*"
                  ]
              },
              {
                  "action": [
                      "waf:DescribeDomains",
                      "waf:DescribeIpAccessControl",
                      "waf:DeleteIpAccessControl",
                      "waf:UpsertIpAccessControl",
                      "waf:PostAttackDownloadTask"
                  ],
                  "effect": "allow",
                  "resource": [
                      "*"
                  ]
              },
              {
                  "action": [
                      "ckafka:DescribeDatahubGroupOffsets",
                      "ckafka:DescribeGroup",
                      "ckafka:DescribeGroupInfo",
                      "ckafka:DescribeGroupOffsets",
                      "ckafka:CreateDatahubGroup",
                      "ckafka:ModifyDatahubGroupOffsets",
                      "ckafka:ListConsumerGroup"
                  ],
                  "effect": "allow",
                  "resource": [
                      "*"
                  ]
              },
              {
                  "action": [
                      "cam:GetUser",
                      "cam:CheckSubAccountName",
                      "cam:CheckUserPolicyAttachment",
                      "cam:GetAccountSummary",
                      "cam:GetPolicy",
                      "cam:GetPolicyVersion",
                      "cam:ListAllGroupsPolicies",
                      "cam:ListAttachedGroupPolicies",
                      "cam:ListAttachedRolePolicies",
                      "cam:ListAttachedUserAllPolicies",
                      "cam:ListAttachedUserPolicies",
                      "cam:ListGroupsPolicies",
                      "cam:ListPolicies",
                      "cam:ListUsers"
                  ],
                  "effect": "allow",
                  "resource": [
                      "*"
                  ]
              }
          ],
          "version": "2.0"
      }

    image

  5. 快速新建用户页面,单击创建用户

2. 为子账号创建API密钥

具体操作,请参见子账号访问密钥管理

  1. 在腾讯云控制台的用户列表页面,单击新建的子账号名称。在用户详情页面API密钥页签,单击新建密钥

  2. 创建SecretKey对话框,单击下载CSV文件复制,保存SecretIdSecretKey后,单击确定

    image

3. 配置子账号功能权限并提交API密钥

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统设置 > 功能设置

  3. 多云配置管理 > 多云资产页签,单击新增授权,在下拉列表中选择腾讯云

    您也可以通过以下任意入口,打开接入云外资产面板。

    • 资产中心 > 主机资产页面,将鼠标移动至多云资产接入区域image图标处,并单击腾讯云下方的接入

    • 风险治理 > 云安全态势管理页面的云产品配置风险页签,将鼠标移动至多云云产品接入区域image图标处,并单击腾讯云下方的接入

    • 威胁分析与响应 > 产品接入页面,将鼠标移动至多云产品接入区域image图标处,并单击腾讯云下方的接入授权

  4. 接入云外资产面板,保持默认选择手动配置方案,根据您需要使用的云安全中心能力,选择权限说明中对应的功能,单击下一步

    • 主机资产:如果您需要云安全中心控制台自动同步腾讯云主机资产时,请选中该配置项。

    • 云安全态势管理:如果您需要使用云安全态势管理功能扫描腾讯云产品配置并管理云产品配置风险时,请选中该配置项。

    • 威胁分析与响应:如果您需要使用威胁分析与响应功能联动腾讯云资产进行恶意IP封禁等处置响应时,请选中该配置项。

  5. 提交AK向导页面,输入步骤2创建的API密钥信息,并单击下一步

    账号名称用于区分同一云厂商下的不同账户资产,建议您根据其用途设置具有明确含义的名称。

    重要

    请勿删除或禁用子用户及API密钥,以免影响接入。

4.(可选)完成审计日志配置

权限说明选择云安全态势管理时,如果您需要在云安全中心接入腾讯云中云产品的系统活动或操作的日志以获取更完善的检测,您需在审计日志配置向导页面,参考下述步骤完成配置,单击下一步。如果不需要接入审计日志,请单击跳过

重要

审计日志配置的Kafka和日志集合相关数据将用于云安全态势管理中身份权限管理(CIEM)的检测,如果不配置审计日志,云安全中心会无法检测CIEM相关检查项。

  1. 进入腾讯云日志服务控制台,创建一个日志主题。具体操作,请参见日志主题

    日志服务地域建议选择与云产品相同的地域。

  2. 进入腾讯云操作审计控制台,使用跟踪集投递日志。具体操作,请参见使用跟踪集投递日志

    创建跟踪集时的关键配置项如下:

    • 管理事件类型:选择全部。

    • 资源类型:选择全部资源类型。

    • 投递位置:选择将事件投递到日志服务CLS,将投递的日志主题配置为上述步骤中创建的日志主题,并选中补齐近三个月(90天)事件

  3. 自定义一个权限策略ciemPolicy,并为需要接入云安全中心的子账号授权该自定义权限。具体操作,请参见通过策略语法创建自定义策略

    自定义权限策略的内容如下:

    ciemPolicy策略内容

    {
        "statement": [
            {
                "action": [
                    "cls:OpenKafkaConsumer"
                ],
                "effect": "allow",
                "resource": [
                    "qcs::cls:${CLS 所在RegionID}:uin/${主账号ID}:topic/${CLS TopicID}",
                    "qcs::cls:${CLS 所在RegionID}:uin/${主账号ID}:logset/${CLS 日志集ID}"
                ]
            }
        ],
        "version": "2.0"
    }

    您需要进入日志主题的基本信息页面,获取日志主题的详细信息,替换上述策略中的信息。

    • ${CLS TopicID}:填写为日志主题ID的取值。

    • ${CLS 日志集ID}:填写为所属日志集ID的取值。

    • ${CLS 所在RegionID}:填写为地域取值对应的地域ID。

    • ${主账号ID}:在控制台右上角单击头像,获取主账号ID。

    image.png

  4. 获取日志主题的Kafka主题名称、Kafka外网服务接入地址信息和所属日志集ID,用于接入云安全中心。

    • 进入日志主题的基本信息页面,获取所属日志集ID

    • 进入Kafka协议消费页面,获取Kafka主题名称和Kafka外网服务接入地址。具体操作,请参见Kafka 协议消费

      image.png

  5. 在云安全中心控制台接入云外资产面板的审计日志配置向导中,填写通过上述步骤获取的Kafka 主题名称Kafka 服务地址日志集合ID,并单击下一步

5. 配置接入策略

  1. 在云安全中心控制台接入云外资产面板的策略配置向导中,配置需接入的腾讯云资产的地域、数据同步频率等,单击确定

    配置项

    说明

    选择地域

    选择需接入资产所属地域,云安全中心根据您在控制台左上角选择的数据管理中心(中国全球(不含中国)),将当前账号下的资产数据接入对应的管理中心。

    新增地域接入管理

    选中该项后,当前腾讯云账号下如果有新增地域,云安全中心默认将新增地域的资产数据接入到当前所在的数据管理中心。

    不选中该项时,新增地域将不会被接入云安全中心。

    主机资产同步频率

    选择云安全中心自动同步腾讯云主机资产的时间间隔。选择关闭,表示不同步。

    说明

    当接入的资产权限说明选择主机资产时,需要配置该参数。

    云产品同步频率

    选择云安全中心自动同步腾讯云云产品的时间间隔。选择关闭,表示不同步。

    说明

    当接入的资产权限说明选择云安全态势管理时,需要配置该参数。

    AK服务状态检查

    选择云安全中心自动检测腾讯云账号API密钥有效性的时间间隔。选择关闭,表示不检测。

  2. 单击同步最新资产,将腾讯云账号下的所有资产同步到云安全中心。

快速配置方案(仅接入主机资产)

1. 新建主账号API密钥

具体操作,请参见主账号访问密钥管理

  1. 登录腾讯云控制台,进入API密钥管理页面。在API密钥管理页面,单击新建密钥

  2. 创建SecretKey对话框,单击下载CSV文件复制,保存SecretIdSecretKey后,单击确定

    image

2. 提交主账号API密钥

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统设置 > 功能设置

  3. 多云配置管理 > 多云资产页签,单击新增授权,在下拉列表中选择腾讯云

    您也可以通过以下任意入口,打开接入云外资产面板。

    • 资产中心 > 主机资产页面,将鼠标移动至多云资产接入区域image图标处,并单击腾讯云下方的接入

    • 风险治理 > 云安全态势管理页面的云产品配置风险页签,将鼠标移动至多云云产品接入区域image图标处,并单击腾讯云下方的接入

    • 威胁分析与响应 > 产品接入页面,将鼠标移动至多云产品接入区域image图标处,并单击腾讯云下方的接入授权

  4. 接入云外资产面板,选择快速配置方案,单击下一步

  5. 提交AK向导页面,输入已获取的账号API密钥信息和账号名称,并单击下一步

    账号名称用于区分同一云厂商下的不同账户资产,建议您根据其用途设置具有明确含义的名称。

重要

完成上述操作后,云安全中心会自动在腾讯云控制台创建前缀为AlibabaSasSubAccount_的子用户,用于完成接入云安全中心的授权。建议您不要删除或禁用该用户及API密钥,以免影响腾讯云资产接入。image

3. 配置接入策略

  1. 在云安全中心控制台接入云外资产面板的策略配置向导中,配置需接入的腾讯云资产的地域、数据同步频率等,单击确定

    配置项

    说明

    选择地域

    选择需接入资产所属地域,云安全中心根据您在控制台左上角选择的数据管理中心(中国全球(不含中国)),将当前账号下的资产数据接入对应的管理中心。

    新增地域接入管理

    选中该项后,当前腾讯云账号下如果有新增地域,云安全中心默认将新增地域的资产数据接入到当前所在的数据管理中心。

    不选中该项时,新增地域将不会被接入云安全中心。

    主机资产同步频率

    选择云安全中心自动同步腾讯云主机资产的时间间隔。选择关闭,表示不同步。

    AK服务状态检查

    选择云安全中心自动检测腾讯云子账号API密钥有效性的时间间隔。选择关闭,表示不检测。

  2. 单击同步最新资产,将腾讯云账号下的所有资产同步到云安全中心。

4. 删除主账号密钥

在接入完成后,为了确保主账号的安全,建议您参考下述步骤在腾讯云控制台删除授权使用的主账号的API密钥。云安全中心已使用自动创建的子账号完成授权操作,此时删除主账号的API密钥对您使用云安全中心的功能无影响。具体操作,请参见删除主账号API密钥

  1. 在腾讯云控制台API密钥管理页面,单击在云安全中心已提交的密钥操作列的禁用

  2. 在提示对话框,单击禁用

  3. API密钥管理页面,单击目标密钥操作列的删除,完成删除操作。

接入结果验证

主机资产

在云安全中心控制台资产中心 > 主机资产页面,在多云资产接入区域单击image图标,查看接入的腾讯云主机。更多信息,请参见主机资产

云安全态势管理

在云安全中心控制台资产中心 > 云产品页面,查看已通过API密钥接入的腾讯云产品列表。更多信息,请参见查看云产品信息

image

威胁分析与响应

在云安全中心控制台系统配置 > 功能设置页面的多云配置管理页签,查看威胁分析与响应的服务状态。若服务状态显示正常,则接入成功。

image

后续操作

主机资产

  1. 为腾讯云资产安装云安全中心客户端。具体操作,请参见安装客户端

    重要

    在执行新增安装命令操作时,服务商需选择腾讯云

  2. 免费版仅支持基础的安全检测,无安全防护能力。您可以为接入的腾讯云服务器绑定云安全中心的付费防护版本(防病毒版、高级版、企业版或旗舰版),以便使用云安全中心的安全防护能力。具体操作,请参见管理主机及容器安全授权数

云安全态势管理

  1. 设置并执行云平台配置风险检查策略,检查腾讯云产品中是否存在配置风险。

  2. 查看并处理未通过的云平台配置风险检查项

威胁分析与响应

您需要将腾讯云Web应用防火墙、云防火墙日志接入,才能使用威胁分析与响应提供的威胁检测、安全事件处置等能力。将日志接入的操作步骤如下:

  1. 将腾讯云日志接入威胁分析与响应。

    1. 将待接入的日志转储到指定云产品

    2. 绑定第三方云厂商账号并设置数据源

    3. 接入第三方云产品日志

  2. 使用威胁分析与响应的威胁检测、安全事件处置等能力

相关文档