功能介绍
云资源配置检查功能通过对云资源的配置进行检查,以发现因配置不当引入的安全风险。
访问入口
1. 登录 云安全中心控制台,在左侧导览中,单击云安全态势管理。
2. 在云安全态势管理 > 云资源配置检查中,支持查看云资源配置风险。
发起风险检查
1. 登录 云安全中心控制台,在左侧导览中,单击云安全态势管理。
2. 在云安全态势管理 > 云资源配置检查中,单击立即检查。
3. 在弹出的对话框中,可以选择不同的检测模式。检测模式支持全量规则、免费规则、按周期计划已选规则、自选规则4种不同场景。可以查看对应配额的预期消耗情况。
注意:
在执行云资源配置检查时,会进行一次资产的同步,因此,实际消耗的额度预期有微小差异。
4. 鼠标移至立即检查上方,您可以看到最近一次检测任务的运行时间。
周期检查管理
云资源配置检查支持周期自动检查,需要您手动开启配置。
1. 登录 云安全中心控制台,在左侧导览中,单击云安全态势管理。
2. 在云安全态势管理 > 云资源配置检查中,单击管理。
3. 在弹出的抽屉中,单击开关,完成周期检查启用。
4. 您还可以单击周期运行中的编辑,来调整执行时间。
5. “新增规则自动启用”功能说明,当该功能处于启用状态时,云安全中心新增的检查规则将自动加入您的执行列表;当该功能处于关闭状态时,云安全中心新增的检查规则将不会加入您的执行列表。该功能默认启用,且建议您将该功能保持开启状态,能及时发现新风险。
6. 通过控制开关,可以调整您希望执行的规则列表。支持检索、批量操作。
配置项视角
在配置项视角中,您可以查看按规则名统计的风险情况。
1. 登录 云安全中心控制台,在左侧导览中,单击云安全态势管理。
2. 在云安全态势管理 > 云资源配置检查中,选择配置项风险。
3. 列表按风险处理的优先级进行了风险排序,您可以按顺序进行风险治理。
4. 列表默认勾选了仅展示高优修复风险,将隐藏一部分修复优先级较低的风险,若您关注此类风险,可以取消该勾选,查看全部内容。
5. 您可以根据首次发现时间、最近发现时间、处理状态、风险等级和云厂商、威胁等级筛选数据。系统会将风险与 CIS 基准、网络安全等级保护基本要求等参考条款进行关联,并提供检索功能。
6. 选择目标数据,单击配置项名称,可以看到该条风险的全部详情数据。
7. 在详情页面,您可以查看风险危害、风险修复建议、风险详情。
8. 在风险详情中,您可以查看该配置风险项的完整风险列表,并对目标数据进行验证、标记忽略或标记处置等操作。
资产视角
1. 登录 云安全中心控制台,在左侧导览中,单击云安全态势管理。
2. 在云安全态势管理 > 云资源配置检查中,选择资产视角。
3. 列表按风险处理的优先级进行了风险排序,您可以按顺序进行风险治理。
4. 列表默认勾选了仅展示高优修复风险,将隐藏一部分修复优先级较低的风险,若您关注此类风险,可以取消该勾选,查看全部内容。
5. 您可以根据首次发现时间、最近发现时间、处理状态、威胁等级和云服务提供商筛选数据。系统会将风险与 CIS 基准、网络安全等级保护基本要求等参考条款进行关联,并提供检索功能。
6. 选择目标数据,单击详情,可以看到该资产对应风险的全部详情数据。
7. 在详情页面,您可以查看风险危害、风险修复建议、风险详情。
8. 在风险详情中,您可以查看该配置风险项的完整风险列表,并对目标数据进行验证、标记忽略或标记处置等操作。
策略配置
1. 登录 云安全中心控制台,在左侧导览中,单击云安全态势管理。
2. 在云安全态势管理 > 云资源配置检查中,单击左上角的策略配置
3. 在策略管理中,您可以查看风险配置项列表,也可以选择规则进行禁用。
4. 单击目标配置项名称,通过弹框方式展示该配置项风险的危害和修复建议,帮助您了解该配置项。
支持的云产品列表
云厂商 | 产品分类 | 产品名称 |
腾讯云 | 计算 | 云服务器 |
| | 轻量应用服务器 |
| 容器与中间件 | 容器服务 |
| | 容器镜像服务 |
| | 云函数 |
| | 消息队列 CKafka 版 |
| | 消息队列 TDMQ 版 |
| 网络 | 负载均衡 |
| | 弹性公网 IP |
| | 弹性网卡 |
| | NAT 网关 |
| | 私有网络 |
| CDN 与边缘 | 内容分发网络 CDN |
| 安全 | Web 应用防火墙 |
| | 云防火墙 |
| | 密钥管理系统 |
| 数据库 | 云数据库 MySQL |
| | 云数据库 MariaDB |
| | 云数据库 SQL Server |
| | 云数据库 MongoDB |
| | 云数据库 PostgreSQL |
| | 云数据库 Redis |
| | 云数据库 KeeWiDB |
| | 向量数据库 |
| | TDSQL MySQL 版 |
| | TDSQL-C MySQL 版 |
| 存储 | 对象存储 |
| | 云硬盘 |
| | 文件存储 |
| 大数据 | Elasticsearch Service |
| | 弹性 MapReduce |
| 云通信与企业服务 | SSL 证书 |
| 开发与运维 | 访问管理 |
| | 操作审计 |
| | 腾讯云可观测平台 |
阿里云 | 计算 | 云服务器 ECS |
| 容器 | 容器服务 |
| | 容器镜像服务 |
| 网络与 CDN | 负载均衡 SLB |
| | 内容分发网络 CDN |
| | 弹性公网 IP |
| | 弹性网卡 ENI |
| | NAT 网关 |
| | 任播弹性公网 IP |
| | 私有网络 |
| 大数据计算 | 检索分析服务 Elasticsearch 版 |
| | 大数据开发治理平台 |
| Serverless | 函数计算 |
| 中间件 | 微服务引擎 |
| | API 网关 |
| 数据库 | 云数据库 RDS |
| | 云数据库 MongoDB 版 |
| | 云数据库 Tair(兼容 Redis) |
| | 云数据库 ClickHouse |
| | 云数据库 OceanBase 版 |
| | 云原生分布式数据库 |
| | 云原生数据仓库 AnalyticDB PostgreSQL 版 |
| | 云原生数据仓库 AnalyticDB MySQL 版 |
| | 云原生数据库 PolarDB |
| | 数据管理服务 DMS |
| 存储 | 对象存储 OSS |
| | 日志服务 |
| 安全 | Web 应用防火墙 |
| | 云安全中心 |
| | 云防火墙 |
| | 云身份服务 |
| | 堡垒机 |
| 迁移与运维管理 | 访问控制 |
AWS | 计算 | Amazon EC2 |
| | AWS Lambda |
| 容器 | Amazon EKS |
| | Amazon ECR |
| 存储 | Amazon S3 |
| | Amazon EFS |
| 数据库 | Amazon RDS |
| | Amazon DynamoDB |
| | Amazon MemoryDB |
| | Amazon ElastiCache |
| 联网和内容分发 | Amazon VPC |
| 前端 Web 和移动应用程序 | Amazon API Gateway |
| 应用程序集成 | Amazon SQS |
| 安全性、身份与合规性 | Amazon IAM |
| 分析 | Amazon MSK |
| | Amazon EMR |
