您需要将待扫描配置的云产品接入云安全中心后,才可以使用云产品配置风险检查功能。云安全态势管理支持检测阿里云产品、第三方云产品以及K8s集群的安全配置,发现潜在的风险和安全漏洞,并提供修复建议和指导,帮助您提升云产品的安全性和稳定性。
背景信息
云产品配置风险检查的规则说明、风险等级评定、风险项修复等详细内容,请参见云产品配置风险检查。
前提条件
已授权云安全态势管理服务,如果使用云产品配置风险检查的全部检查项,还需要开通按量计费或已购买足够的云安全态势管理扫描授权数。具体操作,请参见云安全态势管理概述。
查看支持检查的云产品
目前,云安全中心支持接入阿里云和第三方云平台中的资产进行云安全态势管理,您可以在云安全中心控制台查看支持接入和检查的阿里云产品、第三方云平台及其云产品。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在云安全态势管理页面,单击云产品配置风险页签。
在检查项列表上方,选择云产品,单击阿里云或第三方云平台(例如,腾讯云、AWS),可以分别查看云安全中心目前支持接入的云产品列表。
接入阿里云产品
云安全中心会自动同步当前阿里云账号下的云产品,您无需手动接入同账号云产品。
接入第三方云产品
目前,云安全态势管理支持检测腾讯云、AWS、Azure云以及华为云平台的资产安全配置。您可以将第三方云产品接入云安全中心,使用云安全态势管理进行云产品配置扫描。
接入第三方云产品的具体操作,请参见通过第三方账号AK接入云资产。您需要在创建子账号时,选择手动配置方案,并选中权限说明下的云安全态势管理。
接入K8s自建集群并安装组件
1. 接入K8s自建集群
云安全中心接入K8s自建集群的地域限制、前提条件和参数配置说明,请参见接入K8s自建集群。
使用云产品配置风险功能的集群接入步骤如下。
在页面,单击右上角的策略管理,然后在策略管理面板的容器集群接入配置页签,单击自建集群接入。
如果您当前使用的是旗舰版云安全中心实例,您也可以在页面,单击自建集群接入。
从此入口接入的集群资产会自动同步到容器集群接入配置页签的集群列表。
在接入自建K8s集群面板完成K8s接入配置后,单击生成命令,然后登录集群所在服务器,新建text-001.yaml文件,将生成的命令拷贝到该文件中保存,然后执行
kubectl apply -f text-001.yaml命令,完成集群接入。
2. 安装组件
上一步接入的集群信息会展示在容器集群接入配置页签的集群列表中,组件状态为未安装,您需要为已接入的集群安装组件,才能进行Kubernetes配置管理(KSPM)的检查项检查。
在容器集群接入配置页签的集群列表中找到刚接入的集群,单击组件接入。
先在扫描组件接入面板,复制生命命令的内容,然后登录集群所在服务器,将生成的命令拷贝到deploy.yaml文件中保存,最后执行
kubectl apply -f deploy.yaml命令,完成组件接入。
如果您开启了Webhook功能,继续在集群所在服务器,将生成的命令拷贝到webhook.yaml文件中保存,然后执行
kubectl apply -f webhook.yaml命令,完成启用集群配置更新的自动检查功能。开启Webhook功能,目前仅支持Pod的增量检查。若Webhook功能未正确配置或发生异常,可能会影响集群资源的创建。
完成组件接入后,您可以在集群列表中查看组件状态为在线,表示组件安装成功。
同步最新资产
如果有新增云产品或产品配置有更新,您可以在云安全中心控制台手动更新最新产品信息到云安全中心。
在云产品页面手动同步当前阿里云账号、跨账号以及已接入的第三方云账号下的云产品。
在容器集群接入配置页签手动同步已接入云安全中心的集群。
相关文档
如果您需要了解云安全态势管理功能及计费方式等,请参见云安全态势管理概述。
如果您需要查看如何执行云产品配置风险的检查、处理检查后的风险项,请参见设置并执行检查策略和查看并处理未通过检查项。
如果需要调用API接口执行云产品配置风险检查,请参见SubmitCheck - 提交云产品配置检查。
- 本页导读 (1)
- 背景信息
- 前提条件
- 查看支持检查的云产品
- 接入阿里云产品
- 接入第三方云产品
- 接入K8s自建集群并安装组件
- 1. 接入K8s自建集群
- 2. 安装组件
- 同步最新资产
- 相关文档
