云上资产的错误配置(如存储桶公共读)或安全漏洞,可能引发数据泄露、服务中断等严重安全事件。云安全态势管理(CSPM)通过自动化安全检查,持续发现并管理阿里云、多云环境及自建Kubernetes(K8s)集群中的配置风险,并提供修复建议,以提升资产的整体安全性与合规性。本文旨在介绍如何将各类云资产接入云安全中心,以启用配置风险检查功能。
适用范围
支持的检查项:
提供部分免费基础配置检查项。
说明仅检测、验证免费,修复仍需开通付费服务。
启用全部云产品配置风险检查项,需购买云安全态势管理付费服务(包年包月或按量付费)。更多说明,请参见功能计费详解。
支持的云平台:
阿里云
第三方云平台:AWS、Azure、华为云、腾讯云、火山云。
容器环境:自建Kubernetes集群。
查看支持检查的云产品
目前,云安全中心支持接入阿里云和第三方云平台中的资产进行云安全态势管理,可以在云安全中心控制台查看支持接入和检查的阿里云产品、第三方云平台及其云产品。
访问云安全中心控制台-风险治理-云安全态势管理,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在云产品配置风险页签的检查项列表上方,选择云产品,单击阿里云或第三方云平台(例如腾讯云、AWS),可以分别查看云安全中心目前支持接入的云产品列表。
接入阿里云产品
云安全中心会自动同步当前阿里云账号下的云产品,无需手动操作。
接入第三方云平台资产
云安全态势管理提供跨云平台资产的配置检查能力,将AWS、Azure、华为云、腾讯云、火山云等第三方云产品接入云安全中心,即可实现统一的云产品配置扫描与风险管理。配置步骤参考如下。
详细参考文档,请参见三方云配置参考文档。
步骤一:在第三方云平台创建访问凭证
AWS
创建IAM用户并授权:登录AWS IAM控制台,创建一个新的IAM用户。为该用户附加
ReadOnlyAccess和IAMReadOnlyAccess两个系统策略。创建并记录访问密钥:为新创建的用户生成一个访问密钥(Access Key),并妥善记录Access Key ID和Secret Access Key。
华为云
创建用户组并授权:登录华为云控制台,进入用户组页面,创建一个新的用户组。为该用户组附加
Tenant Guest和IAM ReadOnlyAccess两个系统策略。创建用户并记录访问密钥:创建一个新的IAM用户,并将其加入上一步创建的用户组。为该用户创建一个访问密钥,并妥善记录Access Key Id和Secret Access Key。
腾讯云
创建子账号并授权:登录腾讯云控制台,进入用户列表页面,创建一个新的子账号。为该子账号关联
CloudResourceReadOnlyAccess和QcloudCamReadOnlyAccess两个系统策略。创建并记录API密钥:在子账号详情的API密钥管理页面,创建一个新的API密钥,并妥善记录SecretId和SecretKey。
Azure
注册应用程序:登录Azure控制台,进入应用注册服务,注册一个新的应用程序。记录其应用程序(客户端)ID和目录(租户)ID。
创建客户端密码:在新注册的应用中,进入证书和密码页面,创建一个新的客户端密码,并妥善记录其值。
分配角色:进入订阅服务,选择您的订阅,然后在“访问控制”中为新注册的应用分配读者 (Reader) 角色。
火山云
创建子账号并授权:登录火山引擎控制台,进入用户页面,创建一个新的子账号。为该用户附加
IAMReadOnlyAccess和ECSReadOnlyAccess两个系统策略。创建并记录访问密钥:在创建用户时,确保启用了编程访问。创建完成后,妥善记录Access Key ID和Secret Access Key。
步骤二:在云安全中心完成接入
访问云安全中心控制台-系统配置-功能设置,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在页签,单击新增授权。
在接入云外资产面板,选择配置方案并根据提示将上一步获取的访问凭证填入相应输入框中。
配置审计日志(可选):如果需要使用云安全态势管理(CSM)的日志审计功能,还需配置相关内容。
说明三方需提供对应的Kafka服务,目前仅腾讯云和AWS支持配置审计日志。
接入K8s自建集群
步骤一:接入集群
此步骤将在集群中创建必要的认证和服务账户,以便云安全中心Agent可以安全地与集群通信。
在页面,单击右上角的策略管理,然后在策略管理面板的容器集群接入配置页签,单击自建集群接入。
说明如果当前实例版本为旗舰版,也可以在页面,单击自建集群接入。
在接入自建K8s集群面板完成K8s接入配置后,单击生成命令。
登录集群所在服务器,新建
text-001.yaml文件,将生成的命令拷贝到该文件中保存。执行以下命令:
# 应用接入配置 kubectl apply -f text-001.yaml
步骤二:安装检查组件
此步骤将在集群中部署检查组件Agent,用于执行配置扫描任务。
返回容器集群接入配置页签的集群列表中,找到刚刚接入的集群,其组件状态为未安装。单击操作列的组件接入。
在扫描组件接入面板,复制生成的命令,然后登录集群所在服务器,将生成的命令拷贝到
deploy.yaml文件中保存。
执行以下命令:
# 部署检查组件 kubectl apply -f deploy.yaml(可选)启用Webhook进行增量检查:如果希望在集群资源(如Pod)发生变更时自动触发增量检查,可以启用Webhook功能。
警告开启Webhook功能,目前仅支持Pod的增量检查。若Webhook功能未正确配置或发生异常,可能会影响集群资源的创建。
在扫描组件接入面板,复制Webhook相关的命令后,登录集群所在服务器,将生成的命令拷贝到
webhook.yaml文件中保存。
执行以下命令部署组件:
# 部署检查组件 kubectl apply -f webhook.yaml
步骤三:验证安装
在集群服务器上,执行以下命令,检查Agent Pod是否正常运行。
说明预期结果是Agent相关的Pod状态为
Running。# 请将 <agent-namespace> 替换为实际部署 Agent 的命名空间 kubectl get pods -n <agent-namespace>在云安全中心控制台的容器集群接入配置列表中,在集群列表中查看组件状态为在线,表示组件安装成功。
同步最新资产
若配置接入时设置了自动同步(如多云配置开启云产品同步频率),系统将自动同步新增云产品或产品配置更新。
也可以在云安全中心控制台手动在云产品或容器集群接入配置,单击同步最新资产。
计费说明
资产接入:将云产品资产接入云安全中心的操作本身不产生费用。
配置检查:云安全态势管理付费功能的计量单位时授权数。对一个资产实例成功执行一次操作(扫描、验证或修复)时,消耗一个授权数。更多说明,请参见功能计费详解。
配额与限制
功能限制:日志审计功能目前仅支持腾讯云和AWS上。
K8s接入限制:
版本限制:
包年包月服务:购买旗舰版版本服务或单独购买云安全态势管理增值服务。
按量付费服务:开通主机及容器安全或云安全态势管理后付费功能。
地域限制:
自建K8s集群网络类型为VPC时,仅支持接入华东1(杭州)、华北2(北京)、华东2(上海)、华南1(深圳)和中国香港地域。
自建K8s集群网络类型为公网时,无地域限制。