云產品配置錯誤或操作不當可能會導致云產品被攻擊,為此,您可以使用云安全中心提供的云安全態勢管理功能,從多維度檢測云產品的配置問題和安全風險,降低因配置錯誤導致的風險,提升云產品安全性。本文介紹云安全態勢管理功能及其計費方式。
功能介紹
檢查云產品配置
從CIEM、安全風險和合規風險維度檢測云產品的配置問題和安全風險,并根據不同的風險等級進行數據統計展示,方便您了解云產品的配置風險概況。
檢查規則說明
CIEM、安全風險和合規風險維度的詳細介紹,請參見下表。
檢查項類目下支持檢測的具體檢查項,請以云安全中心控制臺的頁面顯示為準。
檢測維度 | 檢查項類目 | 說明 |
CIEM | AWS身份權限管理:IAM身份認證、IAM權限管理。 |
|
騰訊云身份權限管理:CAM身份認證、CAM權限管理。 | ||
阿里云身份權限管理:RAM身份認、IDAAS、RAM權限管理。 | ||
安全風險 | 阿里云最佳安全實踐:安全、NoSQL數據庫、存儲、彈性計算、關系型數據庫、數據倉庫、容器與中間件、網絡、大數據、DevOps與治理、數據庫管理工具。 |
|
AWS最佳安全實踐:計算、數據庫、分析、存儲、聯網和內容分發、容器。 | ||
Azure最佳安全實踐:網絡、計算、容器、存儲、數據庫、安全、監視器。 | ||
騰訊云最佳安全實踐:網絡、關系型數據庫、NoSQL數據庫、存儲、容器和中間件、大數據、安全、計算。 | ||
合規風險 | 國際通用安全最佳實踐:阿里云平臺基線、AWS平臺基線。 |
|
PCI數據安全標準:阿里云平臺PCI DSS。 |
| |
等級保護2.0標準:阿里云平臺等保三級。 |
| |
ISO國際標準:阿里云平臺ISO 27001。 |
|
支持接入的云產品
云安全中心支持接入阿里云和第三方云平臺(騰訊云、Azure和AWS)的產品,按照上述檢測規則檢查云產品配置。您可以在云安全中心控制臺查看支持接入和檢查的具體云產品。具體內容,請參見查看支持接入的云產品。
評定風險等級
云安全態勢管理功能主要根據風險類型的危害程度以及應用場景進行分級。
風險等級 | 說明 | 修復 |
高危 | 增加入侵風險或者風險暴露的屬于高危風險項,包括管理端口或者重要服務暴露、源站繞過、憑據泄露、未授權訪問、認證繞過以及特權賬號未禁用等。 | 建議緊急修復。 |
中危 | 高危風險之外的重要檢查項,能降低配置弱點被攻擊風險和明顯增加數據安全效果的風險項。 | 建議結合實際情況及時修復或處置。 |
低危 | 中危和高危以外的檢查項,例如日志審計、安全治理提醒等。 | 可忽略或者有需要(例如合規要求)再修復。 |
修復云產品配置風險
云安全中心針對每個風險項,為您提供相應的優化建議和修復方案,協助您更好地管理云資源和保障業務運行安全。
手動修復:您需要根據檢查結果的威脅影響和處置方案議,在云產品側確認風險影響后執行修復操作。
一鍵修復:云安全中心提供100+條檢查項的一鍵修復功能,可在云安全中心控制臺直接修復對應云產品實例的檢查項配置。
您可以在云安全中心控制臺查看支持在云安全中心一鍵修復的風險項。具體內容,請參見查看云安全態勢管理結果。
每成功修復一次一個實例的一個風險項,消耗一次云安全態勢管理的剩余授權數。
計費說明
計費規則
云安全態勢管理按每個云產品實例的每個檢查項的授權次數收費,計費公式為:云安全態勢管理費用=售賣價格*授權數。
售賣價格:不同計費模式,售賣價格不同。具體內容,請參見下文的計費方式。
授權數:根據每個云產品實例執行每個檢查項掃描、驗證和修復成功的次數計算。
授權數=掃描次數+驗證次數+修復成功的次數。
“實例”指一個特定的網絡設備或應用程序實例,例如對象存儲OSS中的Bucket、ECS服務器的安全組等。
您可以在云安全中心控制臺的頁面,查看當前阿里云賬號下的實例個數,如下圖所示。
開通云安全態勢管理后,您每次執行云安全態勢管理的檢查項掃描時,均會計算掃描次數。每次掃描任務的總掃描次數=掃描的實例總數*選中的檢查項個數。
例如,您一共有10個云產品,每款云產品中包含15個實例,在某次掃描任務中,您一共選擇了5個檢查項(每個實例均執行5個檢查項掃描),則該次掃描任務總掃描次數=10*15*5=750次。
計費方式
云安全態勢管理服務支持免費使用、包年包月模式(預付費模式)和按量付費模式(后付費模式)。免費使用僅提供部分檢查項掃描,付費模式支持全部檢查項掃描。
在同一時間內,同一阿里云賬號只能選擇一種計費方式。
例如,如果您已經開通了云安全態勢管理包年包月,則需要等服務到期或者降配關閉云安全態勢管理功能后,才能開通云安全態勢管理按量付費。詳細內容,請參見下文包年包月轉按量付費。
對于云安全態勢管理的包年包月和按量付費的計費方式,防病毒版、高級版、企業版和旗艦版的計費邏輯相同。
選擇按量計費或包年包月方式,開通云安全態勢管理功能的全部檢查項(包括免費使用的檢查項和計費使用的檢查項)后,當您執行云安全態勢管理的檢查時:
對于免費使用的檢查項,云安全態勢管理的掃描次數和驗證次數,不消耗云安全態勢管理的授權數,不進行計費。對于風險項修復成功的次數,會消耗云安全態勢管理的授權數進行計費。
對于計費使用的檢查項,云安全中心會根據您選擇的每個云產品實例的每個檢查項按次計費。
免費使用
免費使用僅提供部分檢查項的檢測,不限制云安全態勢管理的掃描次數和驗證次數。如果需要使用修復功能,則要開通按量計費或包年包月方式。
免費使用時,具體支持檢測的檢查項,請以云安全中心控制臺的頁面顯示為準。
對于未開通按量計費且未購買過云安全態勢管理掃描次數的用戶,云安全中心默認提供70+條檢查項供免費使用。
如果您在2023年07月07日之前已經授權了云安全態勢管理,按照您購買的云安全中心版本,您可以免費使用以下數量的云安全態勢管理的檢查項,直到云安全中心服務到期。如果您在云安全中心服務到期之前完成續費,您仍可以繼續免費使用以下數量的檢查項。
免費版、防病毒版:70+條。
高級版:90+條。
企業版、旗艦版:250+條。
云安全態勢管理的檢查項會持續更新,如果您希望使用更多的檢查項,您可以選擇按量計費或包年包月方式,開通云安全態勢管理功能的全部檢查項。具體操作,請參見授權并開通服務。開通全部檢查項后,歷史掃描數據會保留,并且您可以查看全部檢查項以及自定義選擇需要掃描的檢查項。
包年包月
預付費用為:售賣價格*授權數(購買的云安全態勢管理掃描次數)*購買時長(按云安全中心服務的購買時長計算)。
購買的云安全態勢管理掃描次數
價格(元/次/月)
0~100,000
0.0065
100,001~500,000
0.005
大于500,000
0.0045
抵扣規則:購買的云安全態勢管理掃描次數(1.5萬次起售,步長為5.5萬次)作為云安全態勢管理的剩余授權數,每次執行云安全態勢管理的檢查項掃描、驗證、修復時,會根據計算的掃描次數、驗證次數、修復成功次數消耗剩余授權數。
說明如果在某次掃描任務中,您已購買的掃描授權數不夠抵扣,則超過授權數的檢查項掃描、驗證和修復將不會執行。您可以通過任務掃描結果查看任務的執行情況。
按量付費
按量費用為:售賣價格*授權數(當日云安全態勢管理的掃描次數、驗證次數和修復成功次數的總和)。
按照使用的云安全態勢管理授權數采用階梯模式以自然日為單位計費。
使用的云安全態勢管理授權數
價格(元/次)
0~100,000
0.0065
100,001~500,000
0.0052
大于500,000
0.0032
如需查看云安全態勢管理的賬單,請參見查看賬單。
授權并開通服務
首次使用云安全態勢管理功能時,您需要先授權允許云安全中心訪問云資源。
授權服務。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
首次使用云安全態勢管理時,需要在云安全態勢管理頁面,單擊立即授權。
授權后,云安全中心將自動創建服務關聯角色AliyunServiceRoleForSasCspm,允許云安全中心訪問和編輯該賬號下的云產品配置,使用該權限從身份認證、網絡訪問控制、數據安全、日志審計、基礎安全防護五個維度為您提供安全配置實踐,降低因云產品配置錯誤導致的風險。關于AliyunServiceRoleForSasCspm角色的更多信息,請參見云安全中心服務關聯角色。
選擇付費模式開通服務。
按量付費模式
完成授權后,在云安全態勢管理頁面,單擊立即開通。
在彈出的開通云安全中心按量付費版對話框中,仔細閱讀用戶協議后選中我已閱讀并同意云安全中心(按量付費)用戶協議,然后單擊立即開通。
開通完成后,您可以在頁面,查看云安全態勢管理已使用的掃描授權數。
關閉按量付費
您可以在云安全態勢管理的已使用授權數區域,單擊停止使用,關閉云安全態勢管理按量付費。
說明關閉按量付費后,才可開通包年包月計費。
包年包月模式
訪問云安全中心購買頁,購買云安全態勢管理掃描次數和時長。具體操作,請參見購買云安全中心。
說明建議您按照實例個數的20倍購買云安全態勢管理掃描次數,以免出現掃描次數不足需要重新掃描的情況。例如,您一共有10個云產品,每款云產品中包含15個實例,此時,建議您購買的掃描次數=10*15*20=3000次。
開通完成后,您可以在頁面,查看云安全態勢管理的剩余授權數。
擴容、降配或續費
如果剩余授權數不足或云安全中心實例到期,無法再執行檢查策略,您可以單擊擴容,在訂單升級頁簽購買更多授權數或續費。您也可以根據業務實際需求,在訂單降配頁簽降低授權數或關閉云安全態勢管理。
包年包月轉按量付費
以包年包月方式購買云安全態勢管理掃描次數后,無法直接將云安全態勢管理掃描次數轉化成按量付費。您可以先將云安全中心實例降配或退款,再開通按量付費模式。