SCP部署云安全中心

  1.云安全中心的作用:

官文:虚拟机终端安全防护能力，实现云上统一的安全策略和安全管理，不仅能够对资产进行精准识别、对不同业务进行针对性保护；而且能自适应开启，无需部署，与云平台能力深度融合。在保障云平台安全的基础上，为租户提供更为全面的内建的安全保障手段。

2.部署前期准备

本次培训是在SCP里面部署ASEC云安全中心，如果超融合部署ASEC的话部署流程的事情都一样

部署前期准备:

（1）ASEC镜像下载:

https://support.sangfor.com.cn/productSoftware/list?product_id=33&category_id=13

（2）EDR镜像下载:

https://support.sangfor.com.cn/productSoftware/list?product_id=33&category_id=13

3.开始部署

（1）在HCI启用合作伙伴服务端口，开启合作伙伴服务，否则SCP将无法访问云安全中心板块服务

（2）导入EDR镜像

（3）进入SCP，选择云安全中心模块，点击立即部署，这时候就需要使用大家提前准备的ASEC镜像了

（4）选择ASEC镜像导入，选择网卡之类的都是基础操作，不复述，导入vma文件，选择资源池、云主机分组、运行位置、存储性能、网卡

（5）点开ASEC镜像的控制台开始配置IP，默认密码为 Sfcsec@123

（6）配置平台认证，需要让ASEC选择跟HCI还是SCP对接

（7）因为环境问题本次选择的是让ASEC对接SCP，所以咱们这里选择SCP就可以

（8）选择对接的SCP平台，输入SCP的IP后，下一步显示要输入账号密码，用户名跟账号需要在SCP单独创建，我这边对接的是SCP,那就需要去SCP创建ASEC的账号，密码自定义

（9）登录SCP平台，进入账号密码界面，创建的ASECC账号（图中已截图给大家参考），授权ASECC管理权限

（10）SCP创建完账号后，返回ASEC控制台输入账号，由于ASEC版本优化问题（建立成功后，在建立链接的话会立刻让云安全中心在SCP掉线，谨慎操作），环境无法复现，大家只需要输入账号后点击建立联机就可以，可以先测试一下连通性

完成以上步骤时，你的ASEC成功与SCP完成了对接

（11）对接成功后，需要用SCP对ASEC进行授权使用，这里我们需要打开SCP的公共模块，进入[系统管理/服务管理]界面，选择高级服务，点击<开启公共模块>。

（12）在前面步骤，大家已经给HCI的合作伙伴4433端口以及SCP的高级服务接口打开了，下一步需要在SCP上给ASEC集中授权，输入ASEC的地址端口即可，注意：ASEC与EDR是两台虚拟机，两个地址，大家使用https://ASECIP，端口是通的，里面没有东西，是因为ASEC只是一个对接内嵌框架

[size=10.5000pt]（13）到这步时，已经完成AEC+SCP镜像部署，IP配置，以及SCP授权给ASEC,下一步开始在ASEC上对接EDR模块，在SCP界面，选择云安全中心，这个时候就可以正常点进去了，有画面等，选择前往开始

（14）进入[安全设置/安全能力管理]页面，点击“虚拟机安全防护”的<开启>按钮。

（15）选择EDR镜像，步骤与(4)一样，可以返回参考，就是镜像基础配置，不复述，到这步已经完成ASEC+EDR+SCP对接

（16）部署好云安全平台化后，需要把HCI的集群加入到云安全中心里面去，实现防护

（17）云安全中心部署完成后的界面:

可以根据以下图中三个模块进行选择查看

1.资产安全风险分析:可以看到所保护的主机中存在高威胁病毒、致命/高等级攻击事件及漏洞最多虚拟机排行

2.风险趋势分析:可以选择某天的病毒时间，网络攻击及漏洞的概览

3.安全防护与响应分析:勒索防护，漏洞发现，攻击防御次数，每月1号统计的为上月整体增幅

实际是把EDR扫描到的问题，通过ASEC间接反馈给SCP，就形成的云上云主机安全

（18）运维人员通过安全时间管理，对病毒事件，攻击事件，暴力破解事件进行动作处置

（19）漏洞扫描，调动的EDR，跟EDR使用一样，不复述

（20）针对虚拟机东西南北向流量进行web防护跟IPS防护，只要可以装入VMtools插件，就可以实现上线及互相防护，IPS跟WEB漏洞库更新目前是自动连接外网，如后续长时间发现没更新需联系技术人员，匹配顺位参考ACL

（21）图中的规则库，WEB规则库以及IPS规则库需要去官网更新或者，放通域名，这个模块引用的是AF的库

upd.sangfor.com.cn

auth.sangfor.com.cn

download.sangfor.com.cn

（22）黑白名单管理:

可以将误判的IP进行加白处置或将危险IP加入黑名单，也可以对研发文件或者自研文件进行加白保证后续不对此文件进行判断

（23）安全日志查询，调度EDR功能模块，不复述

（24）云安全组件安装，安装的插件实际上是EDR插件，由于没有环境，下图照片不太准确，参考就行，SCP会自动给云主机安装EDR+VMtools优化工具

注意:1.有些虚拟机版本可能只能安装vmtools不能安装EDR（ASEC）插件

  2.有些虚拟机版本可能只能安装EDR（ASEC）插件，不能安装vmtools

3.vmtools实现IPS+Web防护

4.EDR实现安全，漏洞等防护

5.所有安装ASEC插件的终端，他们的EDR指向地址都是127.0.0.1代表了vmtools插件，这个地方跟我们平常所部署的EDR不太一样。

6.刚开始部署是说ASEC没有https界面，EDR是正常有的，但是控制台打不开，只能https打开，可以正常使用

（25）ASEC部署思维图

（26）几点注意事项

1.HCI 680对接asec的1.2.0R3

  HCI 690 可以对接asec 1.3.0和1.3.1，建议优先用1.3.1

HCI 691 对接asec 1.3.1

2.EDR也需要放通域名

漏洞补丁相关：https://upd.sangfor.com.cn

接入授权相关：https://auth.sangfor.com.cn

云查服务器：https://analysis.sangfor.com.cn

云安全计划：https://clt.sangfor.com.cn

漏洞补丁、规则、病毒库地址：http://download.sangfor.com.cn

感谢分享，分享的很详细~~~~~~~~