云安全中心将展示您云租户互联网边界的整体状态,帮助您进行日常的边界管理。云边界分析通过分析云上资产关联关系(如 CLB/CDN 绑定关系等),绘制资产面向互联网暴露的路径,同时结合资产状态、安全组策略,得到资产面向互联网的开放状态,即互联网边界。
前提条件
边界开放状态
云安全中心将根据资产的属性、关联关系、访问控制状态等梳理互联网边界。根据网络状态可分为:
网络状态 | 详情 |
完全开放 | 互联网所有地址均可访问该端口。 |
受限访问 | 云资源设置了访问控制,仅白名单里的地址可访问该端口。 |
无法访问 | 云资源状态异常或关机,因此无法被访问。 |
示例:您的负载均衡资产(IP:1.1.1.1)创建了80端口的监听器,监听器的后端服务是两台云服务器。以下不同情况对应不同的开放状态:
负载均衡的安全组开放了允许0.0.0.0/0访问80端口,两台云服务器均处于正常运行状态。
IP | 端口 | 开放状态 |
1.1.1.1 | 80 | 完全开放 |
负载均衡的安全组开放了允许2.2.2.0/24访问80端口,两台云服务器均处于正常运行状态。
IP | 端口 | 开放状态 |
1.1.1.1 | 80 | 受限访问(白名单:2.2.2.0/24) |
负载均衡的安全组开放了允许0.0.0.0/0访问80端口,两台云服务器均处于关机状态。
IP | 端口 | 开放状态 |
1.1.1.1 | 80 | 无法访问 |
说明:
实际上,决定开放状态的因素还包括负载均衡状态、监听器状态、以及云服务器的安全组规则。这些可能的影响因素都被视为判断开放状态的条件。
查看数据
1. 登录 云安全中心控制台,在左侧导览中,单击云安全态势管理。
2. 在云安全态势管理 > 云边界分析中,支持查看相关数据内容。
3. 在云边界分析页面,单击边界梳理,即可触发边界的梳理任务。
支持的云产品实例类型
目前,云边界分析已支持以下云产品,产品分类及名称参考了云厂商官网文档。
云厂商 | 产品分类 | 产品名称 |
腾讯云 | 计算 | 云服务器 |
| | 轻量应用服务器 |
| 网络 | 负载均衡 |
| | 弹性公网 IP |
| | 弹性网卡 |
| | NAT 网关 |
| CDN 与边缘 | 内容分发网络 CDN |
| 安全 | Web 应用防火墙 |
| 数据库 | 云数据库 MySQL |
| | 云数据库 MariaDB |
| | 云数据库 SQL Server |
| | 云数据库 MongoDB |
| | 云数据库 PostgreSQL |
| | 云数据库 Redis |
| 存储 | 对象存储 |
| 大数据 | Elasticsearch Service |
| 容器与中间件 | 容器服务 |
阿里云 | 计算 | 云服务器 ECS |
| 网络与 CDN | 负载均衡 SLB |
| | 内容分发网络 CDN |
| | 弹性公网 IP |
| | 弹性网卡 ENI |
| | NAT 网关 |
| | 任播弹性公网 IP |
| 大数据计算 | 检索分析服务 Elasticsearch 版 |
| Serverless | 函数计算 |
| 数据库 | 云数据库 RDS |
| | 云数据库 MongoDB 版 |
| | 云数据库 Tair(兼容 Redis) |
| 存储 | 对象存储 OSS |
| 安全 | Web 应用防火墙 |
亚马逊云 | 计算 | 云主机 EC2 |
| 网络 | 负载均衡 ELB |
| | 弹性公网 IP |
| | 弹性网卡 ENI |
| 数据库 | 云数据库 RDS |
| | 云数据库 DocumentDB |
| | MemoryDB 内存数据库服务 |
| | ElastiCache 内存缓存 |
| Serverless | Lambda |
| CDN | CloudFront |
