本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
云上环境的配置错误可能引发安全漏洞、性能瓶颈或数据泄露。云安全态势管理通过自动化的检查策略,定期扫描云产品配置,以发现并修复潜在的配置风险。
配置检查项
云安全中心内置了预定义的云产品配置风险检查项。为使检查结果更加精准并符合特定业务需求,可在扫描前对这些检查项进行自定义,从而提升检查结果的准确性和业务匹配度。
自定义检查项:依据内部安全规范或特定风险场景,创建并管理全新的自定义检查项。
预定义检查项:对于部分支持自定义的预定义检查项(如检查OSS Bucket防盗链配置、闲置用户、密码有效期等),可以修改其检查规则的参数,使其更贴合业务安全基线。
自定义检查项
适用范围
版本支持:需开通云安全态势管理付费版本,更多内容参见开通付费版云安全态势管理功能。
支持检查的服务商:阿里云、腾讯云、AWS。
检测场景:合规风险、AI安全态势管理和安全风险,更多说明请参见检查规则。
自定义检查项的配置和使用流程
流程图如下:
配置和发布自定义检查项
进入新增页面
访问云安全中心控制台-风险治理-云安全态势管理,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在云产品配置风险页签,单击新增自定义检查项。
设置基本信息
在基本信息设置页签,参照如下信息完成配置后,单击下一步。
检查项分类设置:通过为检查项设置分类归属,可使其在报告中更易于归类和筛选。
可单击添加按钮,为检查项设置多个分类。
包含以下分类体系,并支持自定义扩展:
归属场景:定义检查项所属的顶层领域。支持选择合规风险、AI安全态势管理和安全风险。
归属标准/归属条例/归属章节:系统不仅提供预定义选项,还支持通过下拉列表中的新增功能创建自定义条目,以满足特定的归类需求。
检查项说明:描述该检查项的内容,比如检查的服务商、云产品,以及简要的规则说明。
处置方案:提供当检查出风险时,建议的手动修复步骤。
帮助资源:可填写检查对象配置帮助文档链接,若无帮助资料,可填“无”。
风险等级:设置当前检查项归属的风险等级(高危、中危或低危),便于用户判断风险影响程度。风险等级评定说明,请参见评定风险等级。
设置检查项规则
在检查项规则设置页签,参照如下信息完成配置后,单击下一步。
检查实例对象:选择服务商下需要检查的云产品类型,例如
ECS-Instance或OSS-Bucket。关联资产及参数设置(可选):如果需要结合其他资产对象配置检查规则,可单击新增关联资产,设置与检查实例对象相关联的资产(如Vpc)。
说明如果可关联属性下拉列表为空,表示当前的检查实例对象不支持关联资产及参数的设置,具体可选的参数以控制台显示为准。
配置后可在检查项内容设置时,设置对关联资产的检测,增加检测的准确性、完整性。
可关联属性:指当前检查实例对象中,可用于建立关联的参数。
被关联资产:可以与可关联属性关联的资产类型。
被关联资产属性:指被关联资产中,与可关联属性进行有关的参数。
检查项内容设置:定义检查逻辑的核心。
单击添加条件,展开检查项条件配置区。
在配置区域,单击添加条件或添加组。
条件关系说明:
组内:单个条件组可配置多个条件,关系可设为“AND”或“OR”,每个条件组下最多包含10个条件。
组间:可配置多个条件组,组与组之间同样以“AND”或“OR”关联,每个检查项最多包含5个条件组。
参数说明:可设置检查实例对象和被关联资产相关的参数。
说明可单击参数右侧的
图标,查看参数的数据类型、示例和描述信息。
操作符说明:
In/NotIn:检查值是否存在于一个集合中。
Equals/NotEquals:检查两个值是否相等。
保存并测试
填写完所有信息后,在检查项规则设置页签,单击测试。
在测试区域中,根据配置的检测实例选择当前账号下的测试实例(如OSS的Bucket,ECS实例ID、SLS的日志project等)后,单击测试。
若显示检查项已通过,说明根据配置内容可正确解析数据。如果测试结果不符合预期检查结果,请确认检查条件设置正确,然后重新测试。
测试符合检查项预期检查结果后,单击保存。
说明已保存而未发布的检查项,支持编辑、发布和删除。
发布
可在测试通过后,在检查项规则设置页签点击发布,或在自定义检查项列表页,单击目标检测项操作列的发布按钮。
重要只有已发布的检查项,才能在检查项列表展示和使用。
发布后的检查项不支持修改。
管理自定义检查项
已添加的自定义检查项,可在云安全态势管理风险页面右上角的自定义检查项管理,进行查看、编辑、发布、下线或删除检查项等操作。
下线:查项被下线后,将会清空原有检查项规则及历史扫描结果。
编辑:单击目标检查项名称,可进入编辑页面。
说明对于已发布的检查项,如果需要修改,需要先执行下线操作。
删除:检查项被删除后,历史检查数据及告警信息也会随之清除。
预定义检查项
适用范围
修改预定义规则,需开通云安全态势管理付费版本,更多内容参见开通付费版云安全态势管理功能。
操作步骤
访问云安全中心控制台-风险治理-云安全态势管理,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在云产品配置风险页签,搜索是否支持自定义参数为是的检查项,单击目标检查项名称。
在检查项详情面板,单击参数配置。
说明如果没有该按钮,表示该检查项的配置不支持修改。
在参数配置面板的可修改参数列,单击+新增可修改参数,在下拉列表中选择需要修改的参数。
在编辑参数列,修改参数值后,单击确定。
说明修改后的规则将在下一次扫描时生效。
设置检查策略
更新检查项后,可以通过配置自动检测策略和加白策略,来精细化管理云产品配置的风险扫描范围、频率及例外项。
配置自动检测策略:通过开启并配置云安全态势管理自动检测功能,可实现对指定云产品的按需风险检查,并支持按周期进行自动化扫描,确保持续发现配置风险。
配置加白策略:将指定云产品实例的特定检查项设为例外,避免不必要的风险告警。该策略对周期性自动检查和手动检查均生效。
配置自动检测策略
在页面右上角,单击策略管理,并切换至云产品扫描策略页签。
开启云安全态势管理自动检测开关,并配置以下项目:
检查周期:设置风险检查的执行频率。
检查时间:设置具体的执行时间点。
检查项选择:可从“预定义检查项”或“已发布的自定义检查项”中进行选择。
选择检查项后,列表上方将显示单次扫描的预估授权消耗数。
说明由于实际检查过程中实例可能发生增减,该预估值仅供参考。
完成策略配置后,云安全中心将按照设定的策略,自动对云产品配置进行风险扫描
配置加白策略
操作步骤
在页面右上角,单击策略管理。
在页签,单击新增加白策略。
在右侧面板中,参考如下说明完成配置后,然后单击确定。
检查项:选择需要豁免检查的具体项目,更多说明请参见检查规则。
策略应用范围:选择策略生效的范围,这会影响策略对新增实例的适用性。
全部实例:按检查项进行加白。对于该云产品,所有现有及未来新增的实例,都将不执行此项检查,且不在风险列表中展示相关风险。
部分实例:按实例进行加白。仅对当前选定的实例不执行此项检查,未来新增的实例仍会接受此项检查。
重要选择“全部实例”进行加白是一个高风险操作,可能导致新的安全风险被忽略。建议优先使用“部分实例”进行精确加白,并定期审计加白策略的必要性。
管理加白策略
管理规则:已添加的白名单规则会展示在 “云产品检查项加白” 列表中。在此列表中,可以对规则进行编辑(修改应用范围)或删除(取消加白)。
自动同步:在处理风险时手动标记为“已处理/加白”的检查项,其规则也会自动同步到此加白列表中。具体操作,请参见处理未通过检查项的云产品配置。
执行云产品配置风险检查
云安全中心功能支持周期性自动检查和即时手动检查。以下是两种检测方式的说明:
周期性自动检查:系统将根据配置自动检测策略中设定的周期和时间自动执行扫描。
即时手动检查:
在云产品配置风险页签的操作区域,单击立即扫描。
选择扫描模式:
全量扫描:对所有支持的云产品和检查项(包含自定义和与定义检查项)执行一次全面的扫描。
按策略扫描:仅根据中策略管理已勾选的检查项执行扫描。
扫描完成后,可在云产品配置风险列表中查看所有未通过的检查项,并根据处置方案进行修复。
修复未通过的检查项
完成云产品配置风险检查后,可在的云产品配置风险中查看所有未通过的检查项,并根据处置方案进行修复。具体操作,请参见查看并处理未通过检查项。
常见问题
发布后的自定义检查项发现逻辑错误怎么办?
单击云安全态势管理风险页面右上角的自定义检查项管理。
定位至目标检查项,执行下线操作,使其恢复到可编辑状态。
警告请注意,下线操作会清除该检查项之前所有的历史扫描结果,此操作不可逆。
修改并充分测试后,再重新发布。
如何查看创建的自定义检查项?
的云产品配置风险中,根据新时设置的归属目录查看自定义检查项。
