Database Autonomy Service (DAS) のセキュリティベースラインチェック機能は、データベースインスタンスに存在する潜在的なセキュリティ設定のリスクを迅速に発見し、セキュリティと信頼性を向上させるのに役立ちます。この機能により、異なるリージョンやエンジンにまたがるインスタンスのセキュリティリスクを発見し、修正することができます。直感的なスキャン結果を通じて、設定を改善し、データベースのセキュリティを強化できます。
背景情報
-
Verizon の「2023 年データ漏洩/侵害調査報告書」によると、データベース侵害の約 50% が、弱いパスワードや認証情報スタッフィング攻撃に関連しています。
-
中国サイバースペース管理局の報告によると、2023 年に中国国内の数千のデータベースが不正アクセスや弱いパスワードのリスクにさらされました。検査された 8,000 以上のインスタンスのうち、11.3% にこれらの問題が見つかりました。
データベースインスタンスがパブリックインターネットに公開されている場合、弱いパスワードは非常に大きなリスクをもたらします。
制限事項
-
データベースインスタンスは、次のいずれかのリージョンに存在する必要があります:
-
パブリッククラウド
中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (深セン)、中国 (河源)、中国 (張家口)、中国 (フフホト)、中国 (成都)、中国 (広州)、中国 (ウランチャブ)、インドネシア (ジャカルタ)、米国 (バージニア)、米国 (シリコンバレー)、日本 (東京)、ドイツ (フランクフルト)、イギリス (ロンドン)、フィリピン (マニラ)、マレーシア (クアラルンプール)、シンガポール、および中国 (香港)。
-
金融クラウド
中国 (杭州) 金融、中国 (上海) 金融、中国 (北京) 金融 (招待制プレビュー)、および中国 (深セン) 金融。
-
-
サポートされているのは、RDS MySQL、PolarDB for MySQL、および PolarDB-X 2.0 インスタンスのみです。
説明PolarDB-X 2.0 インスタンスでは、バックアップ検出はサポートされていません。
機能
検出範囲
-
データベース設定:パスワードポリシーの複雑さ、TDE (透過的データ暗号化) が有効になっているか、および関連付けられた KMS キーが利用可能かどうかをチェックします。
-
ネットワーク設定:ホワイトリストベースのアクセス制御と SSL セキュリティ設定をチェックします。
-
アクセス制御:弱いパスワードをチェックします。
-
ストレージ:バックアップ設定をチェックします。
説明バックアップは、誤ったデータ削除やランサムウェア攻撃などのイベントからのディザスタリカバリに不可欠です。
-
インシデント後のセキュリティ :監査ログが有効になっており、追跡およびフォレンジック機能が提供されているかをチェックします。
実行メカニズム
即時チェック:いつでも手動でオンデマンドのコンプライアンスチェックをトリガーできます。
チェック項目
|
チェック項目 |
チェックルール |
説明 |
|
弱いパスワード |
|
弱いパスワードを使用しているアカウントをチェックします。 説明
|
|
ホワイトリスト |
|
IP アドレスホワイトリストがセキュリティのベストプラクティスに準拠しているかチェックします。 説明
インスタンスに対してパブリックアクセスが有効になっており、ホワイトリストに |
|
SSL証明書 |
|
データベース接続で SSL 暗号化が有効になっているかチェックします。 |
|
バックアップ |
|
バックアップポリシーに応じて、最新のバックアップセットの作成時刻をチェックします。 説明
|
|
監査 |
|
監査ログが有効になっているかチェックします。 |
|
TDE |
|
TDE が有効になっているかチェックします。 |
|
KMS キー |
|
インスタンスの KMS キーが利用可能かチェックします。 説明
TDE が有効でない場合、このチェック項目は該当しません。 |
操作手順
DAS コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
パトロール検査を開始する: パトロール検査を開始する をクリックします。表示されるダイアログボックスで、検査するインスタンスを選択し、矢印アイコン
をクリックして選択済みリストに移動し、次に 決定 をクリックしてセキュリティ検査を開始します。説明-
検査を実行する前に、インスタンスリスト ページで セキュリティセンター を承認する必要があります。
-
セキュリティ検査は、インスタンスの数と複雑さによって、数分から 30 分以上かかる場合があります。タスクが完了するのを待つ必要はありません。後でこのページに戻って結果を確認できます。
サポートされているのは、RDS MySQL、PolarDB for MySQL、および PolarDB-X インスタンスのみです。1 回の検査で最大 30 個のインスタンスを選択できます。
-
-
検査リストの確認:検査結果はリスト形式で表示され、各インスタンスが 1 行で表示されます。
説明結果は、赤が危険、黄が警告、緑が安全を示し、素早く識別できるように色分けされています。
リストには、[弱いパスワード]、[ホワイトリスト]、[SSL 証明書]、[バックアップ]、[監査]、[TDE]、[KMS キー] といった各チェック項目のステータスが表示されます。また、タスク ID、インスタンス ID、データベースタイプ、リージョン、検査時間などの基本情報も提供されます。
-
詳細の表示:タスクの 操作 列で 詳細 をクリックすると、完全なレポートが表示されます。
説明詳細パネルでは、下部にあるもう一度点検をクリックして、現在のインスタンスの検査を再実行できます。
詳細パネルには、基本情報 (タスク ID、インスタンス名、データベースタイプ、検査時間、リージョン) と、各チェック項目 ([弱いパスワード]、[ホワイトリスト]、[バックアップ]、[監査]、[SSL 証明書]、[TDE]、[KMS キー]) の結果が含まれます。各項目には、[安全]、[警告]、[該当なし] などのステータスが付与されています。項目をクリックすると展開され、詳細情報が表示されます。
-
結果のダウンロード:検査リストの右上隅にあるダウンロードアイコン
をクリックして、現在の結果をダウンロードします。 -
通知のサブスクライブ:右上隅にある [サブスクライブ] スイッチをオンにすると、通知を受け取ることができます。
説明サブスクライブすると、Alibaba Cloud は重要なイベントについて、サイト内メッセージと SMS でセキュリティ通知を送信します。
-
Alibaba Cloud が新しいセキュリティ脅威インテリジェンスを受信または発見した場合。
-
中国サイバースペース管理局などの規制当局は、新しいコンプライアンス要件を発行します。
-
-
修正提案
検査でリスクが発見された場合は、以下の提案に従って修正してください:
-
弱いパスワード:データベースのパスワードが複雑さの基準を満たしていることを確認してください。これは特に、パブリックインターネットに公開されているデータベースで重要です。
説明RDS MySQL を使用する場合、validate_password プラグインを有効にすることをお勧めします。パスワードを変更した後、
SHOW VARIABLES LIKE 'validate_password%'コマンドを使用して、ポリシーが有効になっているかどうかを確認できます。-
長さは 8~32 文字である必要があります。
-
大文字、小文字、数字、特殊文字のうち、少なくとも 3 種類を含める必要があります。
-
サポートされている特殊文字は `
!@#$%^&*()_+-=` です。 -
パスワードの変更方法については、以下のトピックをご参照ください:
-
-
ホワイトリスト:パブリックインターネットに公開されているデータベースのホワイトリスト設定を優先的に修正してください。不要な IP アドレスを削除して、信頼できるクライアントのみがデータベースにアクセスできるようにし、潜在的なセキュリティリスクを低減します。
-
SSL 証明書:パブリックにアクセス可能なデータベースでは、転送中のデータを保護するために SSL 暗号化を有効にすることを強く推奨します。これにより、データの傍受や改ざんなどのセキュリティリスクを防ぐことができます。
-
データベースのバックアップ:業務継続性を確保するために、データベースを定期的にバックアップしてください。ビジネス要件に基づいて、日次や週次などのバックアップサイクルを選択し、データの安全性と回復可能性を確保します。
-
監査ログ:データベースの監査ログを有効にすることを強く推奨します。これにより、インシデント後の説明責任やコンプライアンスに役立つだけでなく、リアルタイムのセキュリティリスク検出が可能になり、データベース全体のセキュリティが向上します。
-
TDE :データセキュリティを確保するため、保存データを保護するために TDE を有効にすることを強く推奨します。
-
KMS キー: Key Management Service コンソール で、インスタンスのリージョンを選択し、対応するキーを有効にします。
ご不明な点がある場合は、ID `58255008752` の DingTalk グループに参加して、テクニカルサポートを受けてください。
よくある質問
Q:セキュリティベースラインチェックはデータベースのパフォーマンスに影響しますか?
A:いいえ。チェックはインスタンスに影響しません。検出プロセスでは軽量な収集エージェントを使用し、ピーク時の営業時間中はスキャンが自動的に遅延されるため、潜在的な影響は最小限に抑えられます。