接入第三方云资产
您可以将部署在第三方云厂商(包括腾讯云、华为云、AWS、Azure)的资产接入云安全中心,使用云安全中心进行统一防护和管理。本文介绍如何将第三方云资产接入云安全中心。
接入方式
云安全中心支持两种不同的方式接入第三方云厂商的资产,两种方式采集的数据信息不同。您可以根据需要采集的数据类型,选择适合的接入方式。
接入方式 | 接入说明 | 云安全中心采集的数据 |
使用该方式接入时,第三方云资产作为云外主机接入,云安全中心无法识别资产所属的服务商信息。 | IP信息、主机名称、操作系统类型、CPU核数 | |
使用该方式接入时,云安全中心支持识别资产所属的服务商,并在资产中心页面展示资产的服务商信息。 重要 使用该方式接入后,您仍需要在资产上安装Agent,才可以使用云安全中心的主机安全防护能力。 | IP信息、主机名称、操作系统类型、CPU核数、第三方云的VPC信息、资产运行状态、资产所属地域、资产所属厂商 |
通过第三方账号AK接入云资产
云安全中心通过第三方云厂商的账号AK,获取第三方云资产的读取权限和同步第三方云资产信息,便于您在云安全中心统一防护和管理您的云资产。
接入腾讯云、华为云、亚马逊云(AWS)资产
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在
页签,单击新增授权,在下拉列表中,选择需要接入的多云厂商(腾讯云、华为云或AWS)。在接入云外资产面板,按照指引完成创建对应云厂商的子账号,建立第三方云服务器和云安全中心服务之间的连接。
根据控制台页面提示操作,登录第三方云厂商平台,创建第三方账号AK(AccessKey)。
支持选择手动配置方案和快速配置方案。
(推荐)手动配置方案:手动创建第三方云厂商子账号,将子账号AK授权给云安全中心。
根据您需要使用的云安全中心防护能力,选择权限说明中对应的功能:
主机资产:授予云安全中心第三方账号下云服务器的读权限。如果您需要云安全中心为第三方云资产提供风险检查、威胁防御等安全能力时,请选中该配置项。
云安全态势管理:授予云安全中心第三方账号下所有云资产的读权限。如果您需要使用云安全态势管理功能扫描第三方云资产,请选中该配置项。
威胁分析与响应:授予云安全中心第三方账号下所有云资产的读权限以及部分云资产的写权限。如果您需要使用威胁分析与响应功能统一管理第三方云资产的日志,并联动云资产进行处置响应时,请选中该配置项。
说明不同云厂商支持接入的资产类型不同,请以实际页面显示为准。
使用子账号AK时,您需要为子账号授予云安全中心服务所需的权限,否则会导致云安全中心无法正常防护第三方云资产。请参考控制台步骤配置子账号权限。
快速配置方案:将主账号AK授权给云安全中心,由云安全中心自动为您创建子账号AK。
说明该配置方案仅支持接入主机资产进行防护。不支持接入资产使用云安全态势管理和威胁分析与响应功能。
在提交AK向导页面,输入已获取的账号AK信息和账号名称,并单击下一步。
账号名称用于区分同一云厂商下的不同账户资产,建议您根据其用途设置具有明确含义的名称。
在审计日志配置向导页面,配置接入第三方资产的日志数据,单击下一步。如果不需要接入审计日志,请单击跳过。
重要审计日志配置用于获取云安全态势管理中身份权限管理(CIEM)的检测项的数据。第三方云资产使用云安全态势管理功能时,如果不配置该项,云安全中心将无法检测CIEM相关检查项。
仅支持腾讯云和AWS资产配置该项。华为云资产无需配置该选项。
在进行腾讯云资产审计日志配置前,您需要先前往腾讯云控制台,创建一个日志主题并完成相应的自定义权限配置。具体操作,请参见步骤一:配置第三方云平台账号。
在进行AWS资产审计日志配置前,您需要先前往AWS控制台,创建一个SQS队列并完成相应的自定义权限策略配置。具体操作,请参见步骤一:配置第三方云平台账号。
接入AWS账号时,依次输入获取到的AWS SQS所在的地域ID和SQS队列名称。
接入腾讯云账号时,依次输入获取到腾讯云CLS日志服务的Kafka主题名称、Kafka外网服务接入地址信息和所属日志集ID。
在策略配置向导页面,配置接入第三方资产的地域、数据同步频率等,单击确定。
配置项
说明
选择地域(选择接入本管理中心的数据)
选择第三方账号下需接入资产所属地域,云安全中心根据您在控制台左上角选择的数据管理中心(中国或全球(不含中国)),将第三方账号下的资产数据接入对应的管理中心。
新增地域接入管理
选中该项后,第三方账号下如果有新增地域,云安全中心默认将新增地域的第三方资产数据接入到当前所在的数据管理中心。
不选中该项时,新增地域将不会被接入到云安全中心进行防护。
主机资产同步频率
选择云安全中心自动同步第三方主机资产的时间间隔。选择关闭,表示不同步。
说明当接入的资产权限说明选择主机资产时,需要配置该参数。
云产品同步频率
选择云安全中心自动同步第三方云产品的时间间隔。选择关闭,表示不同步。
说明当接入的资产权限说明选择云安全态势管理时,需要配置该参数。
AK服务状态检查
选择云安全中心自动检测第三方账号AK有效性的时间间隔。选择关闭,表示不检测。
单击同步最新资产,将第三方账号下的资产同步到云安全中心。
如果您使用的是主账号AK,该主账号下的所有子账号的资产将自动同步到云安全中心。
如果您使用的是子账号AK,该子账号的资产将自动同步到云安全中心。
接入Azure资产
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在
页签,单击新增授权,在下拉列表中,选择需要接入的多云厂商(Azure)。在接入云外资产面板,按照指引完成创建对应云厂商的子账号,建立第三方云服务器和云安全中心服务之间的连接。
创建第三方云厂商的子账号。
根据控制台页面提示操作,您需要登录第三方云厂商平台,手动创建一个用于接入云安全中心的Azure账号,并获取操作命令执行结果中的
appId
、displayName
、name
、password
和tenant
信息。重要您需要为创建的Azure账号授予Microsoft.Compute permissions资源下的只读权限。
在提交AK向导页面,输入上述步骤获取到的请输入appId、请输入password、tenant和Domain,选择需要接入的资产类型,并单击下一步。
支持接入的资产类型为主机资产,表示授权云安全中心第三方云平台账号下云服务器的读权限。
在审计日志配置向导页面,配置接入第三方资产的日志数据,单击下一步。如果不需要接入审计日志,请单击跳过。
重要审计日志配置用于获取云安全态势管理中身份权限管理(CIEM)的检测项的数据。第三方云资产使用云安全态势管理功能时,如果不配置该项,云安全中心将无法检测CIEM相关检查项。
仅支持腾讯云和AWS资产配置该项。华为云资产无需配置该选项。
在进行腾讯云资产审计日志配置前,您需要先前往腾讯云控制台,创建一个日志主题并完成相应的自定义权限配置。具体操作,请参见步骤一:配置第三方云平台账号。
在进行AWS资产审计日志配置前,您需要先前往AWS控制台,创建一个SQS队列并完成相应的自定义权限策略配置。具体操作,请参见步骤一:配置第三方云平台账号。
接入AWS账号时,依次输入获取到的AWS SQS所在的地域ID和SQS队列名称。
接入腾讯云账号时,依次输入获取到腾讯云CLS日志服务的Kafka主题名称、Kafka外网服务接入地址信息和所属日志集ID。
在策略配置向导页面,配置接入第三方资产的地域、数据同步频率等,单击确定。
配置项
说明
选择地域(选择接入本管理中心的数据)
选择第三方账号下需接入资产所属地域,云安全中心根据您在控制台左上角选择的数据管理中心(中国或全球(不含中国)),将第三方账号下的资产数据接入对应的管理中心。
新增地域接入管理
选中该项后,第三方账号下如果有新增地域,云安全中心默认将新增地域的第三方资产数据接入到当前所在的数据管理中心。
不选中该项时,新增地域将不会被接入到云安全中心进行防护。
主机资产同步频率
选择云安全中心自动同步第三方主机资产的时间间隔。选择关闭,表示不同步。
说明当接入的资产权限说明选择主机资产时,需要配置该参数。
云产品同步频率
选择云安全中心自动同步第三方云产品的时间间隔。选择关闭,表示不同步。
说明当接入的资产权限说明选择云安全态势管理时,需要配置该参数。
AK服务状态检查
选择云安全中心自动检测第三方账号AK有效性的时间间隔。选择关闭,表示不检测。
结果验证
接入第三方云资产后,您可以在资产中心页面查看第三方资产的信息。
后续操作
通过第三方账号AK接入云资产后,您需要在第三方云资产上手动安装客户端,才可以使用云安全中心的主机安全防护能力。安装客户端的具体操作,请参见安装客户端。
更多操作
您可以在
页面,查看、修改或删除第三方云资产的接入策略。在资产接入策略右侧单击
,查看接入策略的权限信息和服务状态。
仅当所有资产权限的服务状态均正常时,对应接入策略的服务状态才会显示为正常。如果资产权限异常,您可以移动鼠标到服务状态的
,查看异常原因。
您可以在资产接入策略或资产权限的操作列单击修改,可修改策略的SK、接入资产类型、接入地域等信息。
您可以根据需求,启用、停用或删除接入策略或授权的资产权限。
停用或删除接入策略或资产权限后,云安全中心不再接入对应的第三方云资产。