云安全态势管理(CSPM)通过自动化的风险检查、基线扫描和攻击路径分析,发现并管理云上资产的安全风险。该功能可发现云产品配置错误、服务器配置缺陷等安全隐患,并提供修复建议,以应对因配置不当导致的安全风险。
应用场景
进行云上资产安全检查
场景说明:对所有云上资源进行安全检查时,可组合使用云产品配置风险检查和基线风险检查。
使用说明:
初步评估:使用免费提供的100余项检查项,可对云产品和服务器进行初步风险扫描。
深度扫描与修复:开通付费版(按量付费或包年包月)后,可使用所有检查项进行深度扫描,并对发现的风险进行修复。
满足等保合规或内部安全规范
场景说明:为满足特定安全标准(如等级保护2.0)或企业内部安全基线要求,进行自动化的合规性审计与持续监控,可使用基线风险检查功能。
使用说明:此功能内置等级保护2.0、CIS等主流合规检查包,并支持自定义策略,是实现自动化合规审计的首选。
分析和阻断潜在的内部攻击链路
场景说明:为分析和阻断攻击者利用被攻陷资源作为跳板、横向移动访问其他核心资产的潜在链路,可使用攻击路径分析功能。
使用说明:此功能将离散的配置风险智能串联,以可视化拓扑图的形式呈现完整的攻击路径。例如:
公网可访问的ECS→绑定高权限的RAM角色→可控制所有核心OSS存储桶。
核心功能介绍
云产品配置风险检查
云产品配置检查功能通过扫描云上资产的配置,及时发现并修复因配置不当(例如,ECS安全组规则过于宽松、OSS存储桶被公开访问)而导致的安全漏洞与合规缺陷。
使用流程如下图所示,具体内容,请参见云产品配置风险检查。
系统基线风险检查
系统基线风险能深入主机(服务器)操作系统层面,依据行业标准和安全规范,发现并修复系统是否存在弱口令、不安全的配置或缺失重要补丁等问题,以满足合规要求。
使用流程如下图所示,具体内容,请参见基线风险检查。
攻击路径分析
攻击路径能全面扫描和分析云产品间的访问路径(例如,通过ECS云服务器实例被授予的RAM角色控制OSS对象存储Bucket),提供可视化结果,清晰地了解不同云服务之间的连接关系及潜在风险点,从而识别出不必要的访问权限,发现可能被利用的薄弱环节。
使用流程如下图所示,具体内容,请参见攻击路径分析。
使用限制
地域限制
中国内地
支持地域
地域名称 | 地域ID |
华东6(福州) | cn-fuzhou |
华北1(青岛) | cn-qingdao |
华北2(北京) | cn-beijing |
华北3(张家口) | cn-zhangjiakou |
华北5(呼和浩特) | cn-huhehaote |
华北6(乌兰察布) | cn-wulanchabu |
华东1(杭州) | cn-hangzhou |
华东2(上海) | cn-shanghai |
华南1(深圳) | cn-shenzhen |
华南2(河源) | cn-heyuan |
华南3(广州) | cn-guangzhou |
西南1(成都) | cn-chengdu |
华东5(南京) | cn-nanjing |
中国香港 | cn-hongkong |
华东1 金融云 | cn-hangzhou-finance |
华北2 金融云 | cn-beijing-finance-1 |
华东2 金融云 | cn-shanghai-finance-1 |
华南1 金融云 | cn-shenzhen-finance-1 |
华北2 政务云 | cn-north-2-gov-1 |
华南2 云盒 | cn-heyuan-acdr-1 |
特殊产品不支持地域
产品名 | 不支持地域 |
云服务器 ECS | cn-wulanchabu-acdr-ut-1 |
访问控制 | cn-hangzhou-acdr-ut-1 |
ADB PostgreSQL版 | cn-qingdao |
文件存储NAS | cn-shanghai-finance-1 |
智能计算灵骏 | cn-huhehaote、cn-chengdu-ant、cn-wulanchabu-acdr-1、cn-shanghai-finance-1、cn-hangzhou-acdr-ut-1 |
消息队列 RocketMQ 4.0 版 | cn-guangzhou、cn-heyuan-acdr-1 |
非中国内地
支持地域
地域名称 | 地域ID |
全球 | global-virtual |
韩国(首尔) | ap-northeast-2 |
新加坡 | ap-southeast-1 |
马来西亚(吉隆坡) | ap-southeast-3 |
印度尼西亚(雅加达) | ap-southeast-5 |
菲律宾(马尼拉) | ap-southeast-6 |
泰国(曼谷) | ap-southeast-7 |
沙特(利雅得) | me-central-1 |
美国(弗吉尼亚) | us-east-1 |
美国(硅谷) | us-west-1 |
阿联酋(迪拜) | me-east-1 |
德国(法兰克福) | eu-central-1 |
英国(伦敦) | eu-west-1 |
日本(东京) | ap-northeast-1 |
印度(孟买) | na-south-1 |
特殊产品不支持地域
产品名 | 不支持地域 |
操作审计 | ap-southeast-2 |
云数据库 RDS | ap-southeast-2 |
访问控制 | ap-southeast-2 |
ADB PostgreSQL版 | cn-qingdao |
微服务引擎 | me-east-1 |
PolarDB-X | ap-northeast-1 |
日志服务 SLS | ap-southeast-2 |
API网关 | ap-southeast-2 |
数据传输服务 | ap-southeast-2 |
消息队列 RocketMQ 版 | ap-southeast-2 |
产品版本限制
产品名 | 不支持版本 |
云数据库 RDS | MySQL 5.1、5.5 不支持高可用配置检查(ACS_RDS_DBInstanceHAConfig) |
功能计费说明
计费相关概念
授权数:是云安全态势管理付费功能的计量单位。对一个资产实例成功执行一次计费范围内的操作(扫描、验证或修复)时,消耗一次授权数。
例如:有 10 个产品,每个产品含 15 个实例。若您选择 5 个检查项对所有实例进行扫描,则本次任务将消耗
10 * 15 * 5 = 750次授权。资产实例:指具体的云资源,如一个 OSS Bucket、一台 ECS 的安全组等。
检查项:分为免费检查项和付费检查项。
免费检查项:云产品配置风险功能提供部分免费检查项,提供基础风险感知,不限制扫描和验证次数,仅修复时消耗授权数。
重要对于2023年7月7日前已授权云安全态势管理(原云产品配置检查)的用户,在原云安全中心版本实例到期前或到期后续费,都可继续享受对应版本的免费检查项数量(防病毒版80+,高级版90+,企业版/旗舰版250+)。
付费检查项:需要购买对应的版本服务或单独开通云安全态势管理服务,费用包含在版本服务或消耗授权数。
更多计费信息,请参见计费说明。
功能计费详解
云安全中心提供两种计费模式:包年包月和按量付费,覆盖云产品配置风险、系统基线风险及攻击路径分析功能,各功能的支持情况与计费方式说明如下。
在选择付费模式前,可以通过免费版体验基础检测或申请7天免费试用以评估完整的企业版功能。
免费版功能:云安全中心免费版支持检测、验证云产品配置风险功能的免费检查项,但不支持风险修复、攻击路径功能。
7天免费试用(包年包月企业版):可享有企业版对应的所有功能,支持详情,请参见下文企业版服务说明。
包年包月
此模式为预付费方案,适合拥有长期、稳定安全需求的用户,有助于成本控制。可通过购买版本服务(如高级版、企业版、旗舰版)或CSPM增值服务,获得对应检测防护能力。
购买高级版、企业版或旗舰版版本服务
重要若当前版本为防病毒版、增值服务版,在未购买云安全态势管理增值服务的情况下,可支持检测、验证云产品配置风险的免费检查项,但不支持风险修复、攻击路径功能。
功能
功能支持详情
授权数消耗说明
云产品配置风险
检测项:免费检查项。
说明旗舰版额外支持KSPM检查项。
操作说明:检测、验证、不支持修复。
不消耗授权数。
系统基线风险
检测项:
高级版:仅支持弱口令检查项。
企业版:除容器安全检查项以外所有检查项。
旗舰版:全部检查项。
操作说明:支持扫描、验证和修复。
包含在版本费用中,不消耗授权数。
攻击路径
不支持
无
购买云安全态势管理增值服务
重要若同时购买版本服务和CSPM增值服务,各功能支持说明如下:
高级版、企业版或旗舰版:系统基线风险支持的检测项及操作,以当前版本支持情况为准,云产品配置风险和攻击路径不受版本影响,以下表为准。
防病毒版、增值服务版:系统基线风险、云产品配置风险和攻击路径不受版本影响,以下表为准。
功能
功能支持详情
授权数消耗说明
云产品配置风险
检测项:全部检查项(免费+付费)。
操作说明:支持检测、验证、修复。
免费检查项:修复成功消耗授权数。
计费检测项:扫描、验证或修复成功时均会消耗授权数。
系统基线风险
检测项:全部检查项。
操作说明:支持检测、验证、修复。
扫描、验证或修复成功时均会消耗授权数。
攻击路径
支持
此功能为付费版CSPM的内置权益,不额外消耗授权数。
按量付费
此模式为后付费方案,适合灵活适配短期或动态扩展场景。通过购买云安全态势管理后付费功能,获得对应检测防护能力。
若仅购买主机及容器安全后付费功能,可支持检测、验证云产品配置风险的免费检查项,但不支持风险修复、攻击路径功能。
功能 | 功能支持详情 | 授权数消耗说明 |
云产品配置风险云产品配置风险检查 | 检测项:全部检查项(免费+付费)。 操作说明:支持检测、验证、修复。 |
|
系统基线风险系统基线风险检查 | 检测项:全部检查项。 操作说明:支持检测、验证、修复。 | 扫描、验证或修复成功时均会消耗授权数。 |
攻击路径攻击路径分析 | 支持 | 此功能为付费版CSPM的内置权益,不额外消耗授权数。 |
从这里开始
常见问题
计费与授权
包年包月模式可以转为按量付费吗?
不支持直接转换,需等待包年包月实例到期或退订后,才能开通按量付费。
重要退订或到期后,未使用的授权数将被清零,无法转移。
如果购买的授权数用完了怎么样?
包年包月模式: 若剩余授权数不足以完成整个扫描任务,任务会提前中止,系统仅展示授权数耗尽前已完成的检查结果。请参考升级,及时进行版本升级或购买更多授权数。
按量付费模式: 没有授权数限制。系统会根据实际使用量持续计费,保障所有任务都能完整执行。
功能使用
如何快速上手并使用CSPM进行安全加固?
开通与授权:开通CSPM服务,并按指引完成对云产品管理权限的授权。
接入待查资产:将被检查的云产品实例(如ECS、RDS等)接入云安全中心。
执行与修复:设置检查策略并执行扫描。扫描完成后,根据风险报告和修复建议进行安全加固。
如何用云安全中心提升数据库的配置安全?
云安全中心通过两大功能,从不同维度保障数据库安全:
云安全态势管理 (CSPM):
检测范围:检查数据库的外部配置风险。
检查示例:访问控制白名单是否过宽、是否已开启自动备份和日志审计功能等。
基线检查:
检测范围:检查数据库所在服务器的内部安全缺陷。
检查示例:数据库登录账号是否存在弱口令、服务器配置是否遵循安全最佳实践等。
退订关闭
如何关闭云安全态势管理(CSPM)功能?
免费版: 无需关闭。免费版仅提供有限的检测功能,不涉及付费和授权数消耗。
包年包月版: 参考版本升级或降级,在订单管理中心,将云安全中心版本降级至不含CSPM功能的版本即可。
按量付费版: 在总览页的按量付费服务区域,关闭云安全态势管理开关即可。