このトピックでは、Alibaba Cloud プラットフォームセキュリティのベストプラクティスのデフォルトルールについて説明します。Alibaba Cloud のセキュリティ管理における経験に基づき、これらのルールは、アカウントセキュリティ、クラウドリソースセキュリティ、ネットワークセキュリティ、データセキュリティ、バックアップとリカバリ、ログ監査などの主要なセキュリティ分野にわたって、リスクのある構成を継続的に検出します。
ルール名 | ルールの説明 |
多要素認証 (MFA) が有効になっている場合、Alibaba Cloud アカウントは準拠していると見なされます。Alibaba Cloud アカウントで MFA を有効にすると、アカウント盗難のリスクを軽減できます。 | |
AccessKey を持たない場合、Alibaba Cloud アカウントは準拠していると見なされます。Alibaba Cloud アカウントの AccessKey には、制限できない広範な権限があります。AccessKey が漏洩すると、壊滅的な結果を招く可能性があります。代わりに、RAM ユーザーの AccessKey を使用し、適切なアクセス制御を実装してください。 | |
API Gateway API は、転送中のデータを暗号化するためにパブリックリクエストに HTTPS を使用している場合、準拠していると見なされます。このルールは、内部ネットワーク呼び出しに制限されている API には適用されず、非適用と見なされます。 | |
高速化ドメイン名は、転送中のデータを暗号化するために HTTPS が有効になっている場合、準拠していると見なされます。 | |
ECS ディスクは、自動スナップショットポリシーが構成されている場合、準拠していると見なされます。使用されていないディスク、自動スナップショットポリシーをサポートしていないディスク、または非永続的な使用のために ACK クラスターにマウントされているディスクは、非適用と見なされます。自動スナップショットポリシーが有効になっている場合、Alibaba Cloud は指定された時間にディスクのスナップショットを自動的に作成します。これにより、ウイルス侵入やランサムウェア攻撃などのセキュリティイベントから迅速に回復できます。 | |
インスタンスは、セキュリティ保護のためにホストに Security Center プラグインがインストールされている場合、準拠していると見なされます。このルールは、実行中でないインスタンスには適用されず、非適用と見なされます。 | |
ECS インスタンスは、そのネットワークタイプが仮想プライベートクラウド (VPC) である場合、準拠していると見なされます。パラメーターが指定されている場合、インスタンスは指定された VPC 内にあれば準拠していると見なされます。VPC 内で ECS インスタンスを使用すると、基本的なネットワーク分離を実装し、クラウド環境のネットワークセキュリティを確保できます。 | |
Linux ホストは、ログインにキーペアが使用されている場合、準拠していると見なされます。SSH キーペアは、ブルートフォース攻撃に耐性のある、安全で便利なログイン認証方式です。 | |
セキュリティグループは、指定されたプロトコルのインバウンドルールが、指定された危険なポートを 0.0.0.0/0 CIDR ブロックに開かない場合、準拠していると見なされます。この方法は、サーバーのログインパスワードに対するブルートフォース攻撃のリスクを軽減します。検出された危険なポートが、より優先度の高い権限付与ポリシーによって拒否された場合、そのセキュリティグループも準拠していると見なされます。クラウドプロダクトまたは仮想オペレーターによって使用されるセキュリティグループは、非適用と見なされます。デフォルトでは、このルールは危険なポート 22 と 3389 を検出します。 | |
MongoDB インスタンスのパブリックアクセスを有効にしない、またはホワイトリストを任意ソースからのアクセスを許可するように設定しない | MongoDB インスタンスは、パブリックネットワークアクセスが無効になっているか、ホワイトリストが任意ソースからのアクセスを許可するように設定されていない場合、準拠していると見なされます。これにより、ブルートフォース攻撃などの攻撃を防ぎ、データ漏洩のリスクを軽減できます。 |
MongoDB インスタンスは、ログバックアップが有効になっている場合、準拠していると見なされます。ログバックアップを使用すると、保持期間内の任意の時点にデータを復元できます。 | |
OSS バケットは、そのアクセス制御リスト (ACL) が公開読み書きに設定されていない場合、準拠していると見なされます。OSS バケットに公開読み書き権限がある場合、どの訪問者でもバケットに書き込むことができ、悪意のあるデータが注入されるリスクが生じます。この権限は無効にする必要があります。 | |
OSS バケットは、その ACL が公開読み取りに設定されていない場合、準拠していると見なされます。公開読み取り権限は、データ漏洩のリスクを高めます。この権限は無効にする必要があります。 | |
パブリック読み取りまたは書き込み権限を持つ OSS バケットは、匿名アカウントに読み取りまたは書き込み権限を付与しない権限付与ポリシーが構成されている場合、準拠していると見なされます。これにより、データ漏洩のリスクが軽減されます。非公開権限を持つ OSS バケットは、非適用と見なされます。 | |
PolarDB インスタンスのパブリックアクセスを有効にしない、または IP ホワイトリストをすべてのネットワークセグメントに設定しない | PolarDB インスタンスは、パブリックネットワークアクセスが無効になっているか、IP ホワイトリストがすべての IP アドレスからのアクセスを許可するように設定されていない場合、準拠していると見なされます。これにより、ブルートフォース攻撃などの攻撃を防ぎ、データ漏洩のリスクを軽減できます。 |
PolarDB クラスターは、転送中のデータを保護するために SSL 暗号化が有効になっている場合、準拠していると見なされます。 | |
PolarDB クラスターは、そのログバックアップ保持期間が指定された日数以上である場合、準拠していると見なされます。このパラメーターのデフォルト値は 30 日です。ログバックアップが無効になっているか、保持期間が指定された日数より短い場合、クラスターは非準拠と見なされます。ログバックアップを使用すると、保持期間内の任意の時点にデータを復元できます。 | |
Resource が * に、Action が * に設定されている Admin 権限が、どの RAM ユーザー、RAM ユーザーグループ、または RAM ロールにも付与されていない場合、構成は準拠していると見なされます。最小権限の原則に従うため、これらの権限を付与しないでください。 | |
コンソールアクセス権を持つ RAM ユーザーは、MFA が有効になっている場合、準拠していると見なされます。MFA を有効にすると、アカウント盗難のリスクを軽減できます。 | |
RAM ユーザーの AccessKey は、パラメーターで指定された日数以内に使用されている場合、準拠していると見なされます。デフォルト値は 90 日です。AccessKey がアイドル状態であることが確認された場合は、速やかに無効にしてください。 | |
RDS インスタンスは、パブリック IP アドレスが構成されていない場合、準拠していると見なされます。本番環境の RDS インスタンスには、直接インターネットアクセスを構成しないでください。そうすると、ブルートフォース攻撃などの攻撃に対して脆弱になり、データ漏洩につながる可能性があります。 | |
RDS インスタンスは、ログバックアップが有効になっている場合、準拠していると見なされます。読み取り専用インスタンスは、非適用と見なされます。ログバックアップを使用すると、保持期間内の任意の時点にデータを復元できます。 | |
RDS インスタンスは、SSL が有効で、使用される TLS バージョンがパラメーターで指定されたバージョンのいずれかである場合、準拠していると見なされます。この方法により、転送中のデータが暗号化されます。 | |
Redis インスタンスのパブリックアクセスを有効にしない、またはホワイトリストを任意ソースからのアクセスを許可するように設定しない | Redis インスタンスは、パブリックネットワークアクセスが無効になっているか、そのホワイトリストが任意ソースからのアクセスを許可するように設定されていない場合、準拠していると見なされます。任意ソースからのパブリックアクセスを有効にすると、Redis インスタンスはブルートフォース攻撃などの攻撃に対して脆弱になり、データ漏洩につながる可能性があります。 |
Redis インスタンスは、転送中のデータを保護するために SSL 暗号化が有効になっている場合、準拠していると見なされます。 | |
Redis インスタンスは、増分バックアップが有効になっている場合、準拠していると見なされます。このルールは、Tair または Enterprise Edition インスタンスにのみ適用されます。他のタイプのインスタンスは、非適用と見なされます。増分バックアップを使用すると、保持期間内の任意の時点にデータを復元できます。 | |
Classic Load Balancer (CLB) インスタンスは、そのアクセス制御リストに 0.0.0.0/0 エントリが含まれていない場合、準拠していると見なされます。HTTP および HTTPS 以外のサービスについては、アクセス制御を有効にし、ホワイトリストを構成し、ホワイトリストのルールに 0.0.0.0/0 が含まれていないことを確認する必要があります。 | |
CLB インスタンスは、そのリスナーが指定された危険なポートを監視していない場合、準拠していると見なされます。ブルートフォース攻撃などの攻撃のリスクを軽減するために、22 や 3389 などのポートをインターネットに転送しないでください。 | |
CLB インスタンスは、転送中のデータを暗号化するために指定されたポートに HTTPS リスナーが構成されている場合、準拠していると見なされます。CLB インスタンスに TCP または UDP リスナーしかない場合、非適用と見なされます。デフォルトのポートは 443 です。複数のポートはカンマで区切ることができます。指定されたポートのいずれかで HTTPS リスナーが有効になっている場合、インスタンスは準拠していると見なされます。 | |
VPC は、ポート 22 および 3389 の TCP または UDP プロトコルのインバウンドルールでソースアドレスが 0.0.0.0/0 でない場合、準拠していると見なされます。この方法は、サーバーのログインパスワードに対するブルートフォース攻撃のリスクを軽減します。 |