您可以將部署在第三方云廠商(包括騰訊云、華為云、AWS、Azure)的資產接入云安全中心,使用云安全中心進行統一防護和管理。本文介紹如何將第三方云資產接入云安全中心。
接入方式
云安全中心支持兩種不同的方式接入第三方云廠商的資產,兩種方式采集的數據信息不同。您可以根據需要采集的數據類型,選擇適合的接入方式。
接入方式 | 接入說明 | 云安全中心采集的數據 |
使用該方式接入時,第三方云資產作為云外主機接入,云安全中心無法識別資產所屬的服務商信息。 | IP信息、主機名稱、操作系統類型、CPU核數 | |
使用該方式接入時,云安全中心支持識別資產所屬的服務商,并在資產中心頁面展示資產的服務商信息。 重要 使用該方式接入后,您仍需要在資產上安裝Agent,才可以使用云安全中心的主機安全防護能力。 | IP信息、主機名稱、操作系統類型、CPU核數、第三方云的VPC信息、資產運行狀態、資產所屬地域、資產所屬廠商 |
通過第三方賬號AK接入云資產
云安全中心通過第三方云廠商的賬號AK,獲取第三方云資產的讀取權限和同步第三方云資產信息,便于您在云安全中心統一防護和管理您的云資產。
接入騰訊云、華為云、亞馬遜云(AWS)資產
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇 。
在
頁簽,單擊新增授權,在下拉列表中,選擇需要接入的多云廠商(騰訊云、華為云或AWS)。在接入云外資產面板,按照指引完成創建對應云廠商的子賬號,建立第三方云服務器和云安全中心服務之間的連接。
根據控制臺頁面提示操作,登錄第三方云廠商平臺,創建第三方賬號AK(AccessKey)。
支持選擇快速配置方案和手動配置方案。
(推薦)手動配置方案:手動創建第三方云廠商子賬號,將子賬號AK授權給云安全中心。
使用子賬號AK時,您需要為子賬號授予云安全中心服務所需的權限,否則會導致云安全中心無法正常防護第三方云資產。
資產類型
騰訊云
華為云
AWS
主機資產
QcloudCVMReadOnlyAccess
ECSReadOnlyAccess
AmazonEC2ReadOnlyAccess
云平臺配置檢查
CloudResourceReadOnlyAccess
QcloudCamReadOnlyAccess
暫不支持
ReadOnlyAccess
威脅分析
請參見處置安全事件。
暫不支持
快速配置方案:將主賬號AK授權給云安全中心,由云安全中心自動為您創建子賬號AK。
在提交AK向導頁面,輸入已獲取的賬號AK信息,選擇需要接入的資產類型,并單擊下一步。
主機資產:授權云安全中心第三方賬號下云服務器的讀權限。
云平臺配置檢查:授權云安全中心第三方賬號下所有云資產的讀權限。如果您需要使用云平臺配置檢查功能掃描第三方云資產,請選中該配置項。
威脅分析:授權云安全中心第三方賬號下所有云資產的讀權限以及部分云資產的寫權限。如果您需要使用威脅分析功能統一管理第三方云資產的日志,并聯動云資產進行處置響應時,請選中該配置項。
說明不同云廠商支持接入的資產類型不同,請以實際頁面顯示為準。
在審計日志配置向導頁面,配置接入第三方資產的地域、數據同步頻率等,單擊確定。
配置項
說明
選擇地域(選擇接入本管理中心的數據)
選擇第三方賬號下資產所屬地域,云安全中心根據您在控制臺左上角選擇的數據管理中心(中國或全球(不含中國)),將第三方賬號下的資產數據接入對應的管理中心。
新增地域接入管理
選中該項后,第三方賬號下如果有新增地域,云安全中心默認將新增地域的第三方資產數據接入到當前所在的數據管理中心。
不選中該項時,新增地域將不會被接入到云安全中心進行防護。
主機資產同步頻率
選擇云安全中心自動同步第三方主機資產的時間間隔。選擇關閉,表示不同步。
云產品同步頻率
選擇云安全中心自動同步第三方云產品的時間間隔。選擇關閉,表示不同步。
說明僅當接入的資產類型選擇云平臺配置檢查時,需要配置該參數。
AK服務狀態檢查
選擇云安全中心自動檢測第三方賬號AK有效性的時間間隔。選擇關閉,表示不檢測。
單擊同步最新資產,將第三方賬號下的資產同步到云安全中心。
如果您使用的是主賬號AK,該主賬號下的所有子賬號的資產將自動同步到云安全中心。
如果您使用的是子賬號AK,該子賬號的資產將自動同步到云安全中心。
接入Azure資產
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇 。
在
頁簽,單擊新增授權,在下拉列表中,選擇需要接入的多云廠商(Azure)。在接入云外資產面板,按照指引完成創建對應云廠商的子賬號,建立第三方云服務器和云安全中心服務之間的連接。
創建第三方云廠商的子賬號。
根據控制臺頁面提示操作,您需要登錄第三方云廠商平臺,手動創建一個用于接入云安全中心的Azure賬號,并獲取操作命令執行結果中的
appId
、displayName
、name
、password
和tenant
信息。重要您需要為創建的Azure賬號授予Microsoft.Compute permissions資源下的只讀權限。
在提交AK向導頁面,輸入上述步驟獲取到的請輸入appId、請輸入password、tenant、SubscriptionId和Domain,選擇需要接入的資產類型,并單擊下一步。
支持接入的資產類型為主機資產,表示授權云安全中心第三方云平臺賬號下云服務器的讀權限。
在審計日志配置向導頁面,配置接入第三方資產的地域、數據同步頻率等,單擊確定。
配置項
說明
選擇地域(選擇接入本管理中心的數據)
選擇第三方賬號下資產所屬地域,云安全中心根據您在控制臺左上角選擇的數據管理中心(中國或全球(不含中國)),將第三方賬號下的資產數據接入對應的管理中心。
新增地域接入管理
選中該項后,第三方賬號下如果有新增地域,云安全中心默認將新增地域的第三方資產數據接入到當前所在的數據管理中心。
不選中該項時,新增地域將不會被接入到云安全中心進行防護。
主機資產同步頻率
選擇云安全中心自動同步第三方主機資產的時間間隔。選擇關閉,表示不同步。
云產品同步頻率
選擇云安全中心自動同步第三方云產品的時間間隔。選擇關閉,表示不同步。
說明僅當接入的資產類型選擇云平臺配置檢查時,需要配置該參數。
AK服務狀態檢查
選擇云安全中心自動檢測第三方賬號AK有效性的時間間隔。選擇關閉,表示不檢測。
單擊同步最新資產,將第三方賬號下的資產同步到云安全中心。
如果您使用的是主賬號AK,該主賬號下的所有子賬號的資產將自動同步到云安全中心。
如果您使用的是子賬號AK,該子賬號的資產將自動同步到云安全中心。
結果驗證
接入第三方云資產后,您可以在資產中心頁面查看第三方資產的信息。
查看主機類型接入的資產
進入主機資產。
頁面,查看接入的第三方云主機。更多信息,請參見查看云平臺配置檢查類型接入的資產
進入
頁面,查看通過云平臺配置檢查類型接入的第三方資產。單擊資產對應的查看,可查看資產的基礎信息以及云平臺配置檢查結果。更多信息,請參見查看云產品信息和什么是云平臺配置檢查。
后續操作
通過第三方賬號AK接入云資產后,您需要在第三方云資產上手動安裝Agent,才可以使用云安全中心的主機安全防護能力。安裝Agent的具體操作,請參見安裝客戶端。
更多操作
您可以在
頁面,查看、修改或刪除第三方云資產的接入策略。在資產接入策略右側單擊,查看接入策略的權限信息和服務狀態。
僅當所有資產權限的服務狀態均正常時,對應接入策略的服務狀態才會顯示為正常。如果資產權限異常,您可以移動鼠標到服務狀態的,查看異常原因。
您可以在資產接入策略或資產權限的操作列單擊修改,可修改策略的SK、接入資產類型、接入地域等信息。
您可以根據需求,啟用、停用或刪除接入策略或授權的資產權限。
停用或刪除接入策略或資產權限后,云安全中心不再接入對應的第三方云資產。