云安全态势管理(CSPM)通过自动化的风险检查、基线扫描和攻击路径分析,发现并管理云上资产的安全风险。该功能可发现云产品配置错误、服务器配置缺陷等安全隐患,并提供修复建议,以应对因配置不当导致的安全风险。
应用场景
进行云上资产安全检查
场景说明:对所有云上资源进行安全检查时,可组合使用云产品配置风险检查和基线风险检查。
使用说明:
初步评估:使用免费提供的100余项检查项,可对云产品和服务器进行初步风险扫描。
深度扫描与修复:开通付费版(按量付费或包年包月)后,可使用所有检查项进行深度扫描,并对发现的风险进行修复。
满足等保合规或内部安全规范
场景说明:为满足特定安全标准(如等级保护2.0)或企业内部安全基线要求,进行自动化的合规性审计与持续监控,可使用基线风险检查功能。
使用说明:此功能内置等级保护2.0、CIS等主流合规检查包,并支持自定义策略,是实现自动化合规审计的首选。
分析和阻断潜在的内部攻击链路
场景说明:为分析和阻断攻击者利用被攻陷资源作为跳板、横向移动访问其他核心资产的潜在链路,可使用攻击路径分析功能。
使用说明:此功能将离散的配置风险智能串联,以可视化拓扑图的形式呈现完整的攻击路径。例如:
公网可访问的ECS→绑定高权限的RAM角色→可控制所有核心OSS存储桶。
核心功能介绍
云产品配置风险检查
云产品配置检查功能通过扫描云上资产的配置,及时发现并修复因配置不当(例如,ECS安全组规则过于宽松、OSS存储桶被公开访问)而导致的安全漏洞与合规缺陷。
使用流程如下图所示,具体内容,请参见云产品配置风险检查。
系统基线风险检查
系统基线风险能深入主机(服务器)操作系统层面,依据行业标准和安全规范,发现并修复系统是否存在弱口令、不安全的配置或缺失重要补丁等问题,以满足合规要求。
使用流程如下图所示,具体内容,请参见基线风险检查。
攻击路径分析
攻击路径能全面扫描和分析云产品间的访问路径(例如,通过ECS云服务器实例被授予的RAM角色控制OSS对象存储Bucket),提供可视化结果,清晰地了解不同云服务之间的连接关系及潜在风险点,从而识别出不必要的访问权限,发现可能被利用的薄弱环节。
使用流程如下图所示,具体内容,请参见攻击路径分析。
功能计费说明
计费相关概念
授权数:是云安全态势管理付费功能的计量单位。对一个资产实例成功执行一次计费范围内的操作(扫描、验证或修复)时,消耗一次授权数。
例如:有 10 个产品,每个产品含 15 个实例。若您选择 5 个检查项对所有实例进行扫描,则本次任务将消耗
10 * 15 * 5 = 750次授权。资产实例:指具体的云资源,如一个 OSS Bucket、一台 ECS 的安全组等。
检查项:分为免费检查项和付费检查项。
免费检查项:云产品配置风险功能提供部分免费检查项,提供基础风险感知,不限制扫描和验证次数,仅修复时消耗授权数。
重要对于2023年7月7日前已授权云安全态势管理(原云产品配置检查)的用户,在原云安全中心版本实例到期前或到期后续费,都可继续享受对应版本的免费检查项数量(防病毒版80+,高级版90+,企业版/旗舰版250+)。
付费检查项:需要购买对应的版本服务或单独开通云安全态势管理服务,费用包含在版本服务或消耗授权数。
更多计费信息,请参见计费概述。
功能计费详解
云安全中心提供两种计费模式:包年包月和按量付费,覆盖云产品配置风险、系统基线风险及攻击路径分析功能,各功能的支持情况与计费方式说明如下。
包年包月
此模式为预付费方案,适合拥有长期、稳定安全需求的用户,有助于成本控制。可通过购买版本服务(如高级版、企业版、旗舰版)或CSPM增值服务,获得对应检测防护能力。
购买高级版、企业版或旗舰版版本服务
重要若当前版本为防病毒版、增值服务版,在未购买云安全态势管理增值服务的情况下,可支持检测、验证云产品配置风险的免费检查项,但不支持风险修复、系统基线风险、攻击路径功能。
功能
功能支持详情
授权数消耗说明
云产品配置风险
检测项:免费检查项。
说明旗舰版额外支持KSPM检查项。
操作说明:检测、验证、不支持修复。
不消耗授权数。
系统基线风险
检测项:
高级版:仅支持弱口令检查项。
企业版:除容器安全检查项以外所有检查项。
旗舰版:全部检查项。
操作说明:支持扫描、验证和修复。
包含在版本费用中,不消耗授权数。
攻击路径
不支持
无
购买云安全态势管理增值服务
重要若同时购买版本服务,功能支持说明如下:
高级版、企业版或旗舰版:系统基线风险支持的检测项及操作,以当前版本支持情况为准,请参见高级版、企业版或旗舰版版本服务说明,云产品配置风险和攻击路径不受版本影响,以下表为准。
防病毒版、增值服务版:系统基线风险、云产品配置风险和攻击路径不受版本影响,以下表为准。
功能
功能支持详情
授权数消耗说明
云产品配置风险
检测项:全部检查项(免费+付费)。
操作说明:支持检测、验证、修复。
免费检查项:修复成功消耗授权数。
计费检测项:在扫描、验证或修复成功时均会消耗授权数。
系统基线风险
检测项:全部检查项。
操作说明:支持检测、验证、修复。
扫描、验证或修复成功时均会消耗授权数。
攻击路径
支持
此功能为付费版CSPM的内置权益,不额外消耗授权数。
按量付费
此模式为后付费方案,适合灵活适配短期或动态扩展场景。通过购买云安全态势管理后付费功能,获得对应检测防护能力。
若仅购买主机及容器安全后付费功能,可支持检测、验证云产品配置风险的免费检查项,但不支持风险修复、系统基线风险、攻击路径功能。
功能 | 功能支持详情 | 授权数消耗说明 |
云产品配置风险 | 检测项:全部检查项(免费+付费)。 操作说明:支持检测、验证、修复。 |
|
系统基线风险 | 检测项:全部检查项。 操作说明:支持检测、验证、修复。 | 扫描、验证或修复成功时均会消耗授权数。 |
攻击路径 | 支持 | 此功能为付费版CSPM的内置权益,不额外消耗授权数。 |
从这里开始
购买及开通服务:授权并开通功能。
使用产品功能:
云产品配置风险
接入云产品:接入待检查的云产品。
设置并执行策略:设置并执行检查策略。
处理风险项:查看并处理未通过检查项
系统基线风险
设置并执行策略:设置并执行基线检查策略。
处理风险项:查看并处理基线风险项。
攻击路径:攻击路径分析
常见问题
计费与授权
包年包月模式可以转为按量付费吗?
不支持直接转换,需等待资源包到期或退订后,才能开通按量付费。
重要退订或到期后,原资源包中未使用的授权数将被清零,无法转移。
如果购买的授权数用完了怎么样?
包年包月模式: 若剩余授权数不足以完成整个扫描任务,任务会提前中止,系统仅展示授权数耗尽前已完成的检查结果。请参考升级,及时进行版本升级或购买更多授权数。
按量付费模式: 没有授权数限制。系统会根据实际使用量持续计费,保障所有任务都能完整执行。
功能使用
如何快速上手并使用CSPM进行安全加固?
开通与授权:开通CSPM服务,并按指引完成对云产品管理权限的授权。
接入待查资产:将被检查的云产品实例(如ECS、RDS等)接入云安全中心。
执行与修复:设置检查策略并执行扫描。扫描完成后,根据风险报告和修复建议进行安全加固。
如何用云安全中心提升数据库的配置安全?
云安全中心通过两大功能,从不同维度保障数据库安全:
云安全态势管理 (CSPM):
检测范围:检查数据库的外部配置风险。
检查示例:访问控制白名单是否过宽、是否已开启自动备份和日志审计功能等。
基线检查:
检测范围:检查数据库所在服务器的内部安全缺陷。
检查示例:数据库登录账号是否存在弱口令、服务器配置是否遵循安全最佳实践等。
退订关闭
如何关闭云安全态势管理(CSPM)功能?
免费版: 无需关闭。免费版仅提供有限的检测功能,不涉及付费和授权数消耗。
包年包月版: 参考降配,在订单管理中心,将云安全中心版本降级至不含CSPM功能的版本即可。
按量付费版: 在总览页的按量付费服务区域,关闭云安全态势管理开关即可。