授权云安全中心基于KSPM、CIEM、安全风险、合规风险检查云产品配置的安全

云安全态势管理提供云产品配置风险检查功能，从AI配置管理（AI-SPM）、Kubernetes配置管理（KSPM）、云基础设施授权管理（Cloud Infrastructure Entitlements Management，CIEM）、安全风险和合规风险几个场景检测云产品的配置问题和安全风险，并根据不同的风险等级进行数据统计展示，方便您了解云产品的配置风险概况。

版本限制

云安全中心的免费用户与付费版本用户均可使用该功能。

计费说明

云安全中心提供部分检查项免费使用。对于付费检查项，按照每个云产品实例的每个检查项的授权次数收费，授权次数包括全部付费检查项的扫描次数、验证次数和修复成功的次数。具体计费模式和规则说明，请参见云安全态势管理的计费说明。

使用流程简介

授权允许云安全中心访问云资源并开通云安全态势管理功能，以使用云产品配置风险检测的全部检查项。具体内容，请参见授权并开通功能。
说明
如果仅使用云安全中心提供的免费检查项，完成授权操作即可。
将需要进行配置风险检查的多云资产接入云安全中心。具体内容，请参见接入待检查的云产品。
云安全中心会自动同步当前阿里云账号下的云产品，您无需手动接入同账号云产品。
配置检查策略。例如：获取部分指定的云产品配置是否存在风险，周期性执行云产品配置风险检查，或将指定云产品实例的某些检查项加入白名单不进行检查。具体内容，请参见设置检查策略。
手动立即执行全量扫描或按策略扫描。云安全中心也会按照扫描策略中的检查周期和检查时间进行自动扫描。具体内容，请参见执行云产品配置风险检查。
查看未通过检查项的详情，包括检查项说明、有风险的资产实例和云安全中心提供处置方案等。具体内容，请参见查看云产品配置风险检查的结果。
根据处置方案对有风险的资产实例进行修复和验证，确认检查项验证已通过。具体内容，请参见处理未通过检查项的云产品配置。

功能介绍

检查规则

云产品配置风险检查支持基于AI-SPM、KSPM、CIEM、安全风险和合规风险5个场景配置检查规则，云安全中心提供的预定义检查项类目的具体规则请参考下表。同时支持在这5个场景下添加自定义检查项。具体内容，请参见添加自定义检查项。

重要

预定义检查项类目下支持检测的具体检查项，请以云安全中心控制台的风险治理 > 云安全态势管理页面显示为准。

检查项归属场景	检查项类目	说明
AI-SPM	阿里云AI安全实践：人工智能平台PAI。	阿里云通过实施严格的AI安全实践标准，包括数据保护、访问控制、模型安全评测等多方面的配置安全措施，确保AI应用在整个生命周期内的安全性与合规性，有效防范潜在风险并保护用户数据隐私。云安全中心基于阿里云AI安全实践，支持对PAI、函数计算等AI相关的资产的安全配置风险进行检查，包括最小权限、操作保护、公网白名单等检查项，帮助您有效地管理和降低AI应用中的配置风险，保障数据安全和服务的稳定性。
KSPM	K8s最佳安全实践：容器安全、安全策略、RBAC、存储策略。	KSPM专注于确保Kubernetes（K8s）集群的配置符合最佳安全实践要求，帮助识别潜在的安全风险。云安全中心基于K8s最佳安全实践，支持对容器共享命名空间、特权启动权限和敏感字段配置进行检测，帮助您及时发现并解决集群上各种应用程序及服务的部署和配置问题，确保K8s部署的安全性和合规性。
CIEM	AWS身份权限管理：IAM身份认证、IAM权限管理。	CIEM是一种集合了云安全评估技术和授权管理的服务，用于管理和控制云平台的使用和访问权限。云安全中心基于CIEM技术对云平台进行身份权限管理，支持检测用户账号是否存在过度授权、密码过期等问题，帮助您及时发现并解决授权管理方面的问题，提高云平台的安全性和可靠性。
	腾讯云身份权限管理：CAM身份认证、CAM权限管理。
	阿里云身份权限管理：RAM身份认、IDAAS、RAM权限管理。
安全风险	阿里云最佳安全实践：安全、NoSQL数据库、存储、弹性计算、关系型数据库、数据仓库、容器与中间件、网络、大数据、DevOps与治理、数据库管理工具。	最佳安全实践是云厂商在多年的安全实践中总结出来的一系列安全措施和方法，旨在最大限度地保护用户的数据和业务安全。云安全中心基于不同云厂商的最佳安全实践，通过对业务系统的安全配置、代码漏洞、日志配置等进行检测，找出云平台可能存在的安全配置风险，确保您的数据和业务得到最大的保护。
	AWS最佳安全实践：计算、数据库、分析、存储、联网和内容分发、容器。
	Azure最佳安全实践：网络、计算、容器、存储、数据库、安全、监视器。
	腾讯云最佳安全实践：网络、关系型数据库、NoSQL数据库、存储、容器和中间件、大数据、安全、计算。
	华为云：管理与监管。
合规风险	国际通用安全最佳实践：阿里云平台基线、AWS平台基线。	国际通用安全最佳实践（Center for Internet Security）标准是由国际通用安全最佳实践开发的一系列信息安全相关标准，是国际公认的保护IT系统和数据免受网络攻击的安全标准。云安全中心基于国际通用安全最佳实践标准，支持对云平台进行全面的合规风险检测和管理，识别出不符合国际通用安全最佳实践标准的风险配置，方便您及时修复，从而提高云产品的网络安全性，降低网络攻击风险。
	PCI数据安全标准：阿里云平台PCI DSS。	PCI DSS（Payment Card Industry Data Security Standard，支付卡行业数据安全标准）是一套旨在支持并增强持卡人信息安全、促进全球范围内一致采用的数据安全措施。该标准覆盖了信息安全管理体系、网络安全防护、物理安全保障以及数据加密等多个方面，设定了全面的安全基线要求。云安全中心基于PCI DSS提供了一系列的安全检测服务，支持对云平台的网络安全配置、潜在漏洞、访问控制措施、日志审计追踪、加密传输和恶意软件防护等进行检测、评估和管理，旨在帮助企业满足PCI DSS的要求并保护其支付卡信息的安全。
	等级保护2.0标准：阿里云平台等保三级。	2019年12月01日起，网络安全等级保护基本要求（GB/T 22239-2019信息安全技术）等系列标准正式实施，落实网络安全等级保护制度是每个企业和单位的基本义务和责任。云安全中心在确保云平台自身满足基本要求的基础上，提供了等保合规检查功能，支持对网络安全配置、主机安全的漏洞管理以及数据安全管理等进行全面的安全检测，帮助您更快速、高效和持续地落实网络安全等级保护制度，提升云上业务系统的安全防护能力。
	ISO国际标准：阿里云平台ISO 27001。	ISO 27001是国际信息安全管理体系的认证标准。企业通过ISO 27001认证，表示国际权威组织认可企业的信息安全体系，证明企业有能力为客户提供安全可靠的信息服务。云安全中心ISO 27001合规检测可以检查企业资产的系统是否符合ISO 27001认证的要求，例如资产管理、访问控制、密码学、操作安全等，进而对企业的信息资产进行全面的风险评估，识别潜在的安全威胁与脆弱性，并给出相应的风险处理建议，帮助企业通过ISO 27001认证。

评定风险等级

云安全态势管理功能主要根据风险类型的危害程度以及应用场景进行分级。

风险等级	说明	修复
高危	增加入侵风险或者风险暴露的属于高危风险项，包括管理端口或者重要服务暴露、源站绕过、凭据泄露、未授权访问、认证绕过以及特权账号未禁用等。	建议紧急修复。
中危	高危风险之外的重要检查项，能降低配置弱点被攻击风险和明显增加数据安全效果的风险项。	建议结合实际情况及时修复或处置。
低危	中危和高危以外的检查项，例如日志审计、安全治理提醒等。	可忽略或者有需要（例如合规要求）再修复。

修复云产品配置风险

云安全中心针对每个风险项，为您提供相应的优化建议和修复方案，协助您更好地管理云资源和保障业务运行安全。

手动修复：您需要根据检查结果的威胁影响和处置方案议，在云产品侧确认风险影响后执行修复操作。
一键修复：云安全中心提供100+条检查项的一键修复功能，可在云安全中心控制台直接修复对应云产品实例的检查项配置。
您可以在云安全中心控制台查看支持在云安全中心一键修复的风险项。具体内容，请参见修复风险项。
每成功修复一次一个实例的一个风险项，消耗一次云安全态势管理的授权数。

支持检查的云产品

云安全中心支持接入阿里云产品、第三方云平台（腾讯云、华为云、Azure和AWS）的产品以及K8s自建集群，按照检查规则检查云产品配置。您可以在云安全中心控制台查看支持接入和检查的具体云产品。具体内容，请参见查看支持检查的云产品。

上一篇: 授权并开通功能下一篇: 接入待检查的云产品