Database Autonomy Service (DAS) は、ご利用の MySQL、PolarDB for MySQL、および PolarDB-X 2.0 インスタンスをスキャンし、弱いパスワード、オープンなホワイトリスト、無効化された SSL、バックアップの欠落、監査ログの不在という 5 つのカテゴリのセキュリティリスクを検出します。各検出結果には色分けされた深刻度レベルが割り当てられるため、すべてのインスタンスを手動で監査することなく、修正の優先順位を付けることができます。
背景情報
Verizon の 2023 年のレポートによると、データベース侵害の約 50% は、弱いパスワードと辞書攻撃に関連しています。
中国サイバースペース管理局のレポートによると、2023 年に国内の数千のデータベースが不正アクセスと弱いパスワードのリスクにさらされ、特定された 8,000 のデータベースインスタンスのうち 11.3% に問題があるとされました。
これらの問題には、弱いパスワードの脆弱性や、デフォルトの管理者パスワードが変更されていないことなどが含まれます。インターネットに公開されているデータベースインスタンスは、弱いパスワードによるリスクがより高くなります。
制限事項
サポートされているリージョン
| デプロイメント | リージョン |
|---|---|
| Alibaba Cloud パブリッククラウド | 中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (深セン)、中国 (河源)、中国 (張家口)、中国 (フフホト)、中国 (成都)、中国 (広州)、中国 (ウランチャブ)、インドネシア (ジャカルタ)、米国 (バージニア)、米国 (シリコンバレー)、日本 (東京)、ドイツ (フランクフルト)、イギリス (ロンドン)、フィリピン (マニラ)、マレーシア (クアラルンプール)、シンガポール、および中国 (香港) |
| Finance Cloud | 中国東部 1 Finance、中国東部 2 Finance、中国北部 2 Finance (招待プレビュー)、および中国南部 1 Finance |
サポートされているデータベースエンジン
MySQL、PolarDB for MySQL、および PolarDB-X 2.0。
バックアップ検出は、PolarDB-X 2.0 インスタンスではサポートされていません。
仕組み
各検査では、選択されたインスタンスが 5 つのセキュリティエリアにわたってスキャンされます:
| 確認エリア | 確認内容 |
|---|---|
| データベース構成 | ApsaraDB RDS for MySQL の強力なパスワード強制など、パスワードポリシーの複雑さ |
| ネットワーク構成 | IP ホワイトリストルールと SSL 証明書のステータス |
| アクセス制御 | 弱いパスワードの検出 |
| ストレージプール | バックアップの適時性 |
| 事後セキュリティ | 監査ログ機能が有効になっているかどうか |
チェックメカニズム:即時チェックにより、特定のコンプライアンスチェックを手動で開始できます。
弱いパスワードの検出は、インターネット上で見つかった数千万件の一般的な弱いパスワードの辞書ライブラリを使用し、クラウドセキュリティチームと連携して新しい弱いパスワードを特定します。複数のアカウントにまたがるバッチ検出をサポートし、弱いパスワードが見つかった場合にアラートをトリガーします。
検査結果は、赤 (危険)、黄 (警告)、緑 (安全) の 3 色で色分けされます。
スキャンは軽量のデータ収集エージェントを使用するため、データベースパフォーマンスに影響を与えません。スキャンはビジネスのピーク時間帯には自動的に遅延されます。
セキュリティベースラインチェックの実行
前提条件
開始する前に、以下を確認してください:
DAS コンソールへのアクセス権
サポートされているリージョンに、少なくとも 1 つの MySQL、PolarDB for MySQL、または PolarDB-X 2.0 インスタンスがあること
検査の開始
DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [セキュリティベースラインチェック] を選択します。
[検査の開始] をクリックします。ダイアログボックスで、検査するインスタンスを選択し、
アイコンをクリックして [選択されたインスタンス] セクションに移動し、[OK] をクリックします。検査時間は、選択したインスタンスの数と複雑さに応じて、数分から数十分かかります。
検査結果の確認
検査が完了したら、[セキュリティベースラインチェック] ページに戻ります。各インスタンスは、色分けされた結果とともに 1 行で表示されます。
以下の表は、各確認項目、そのリスクレベル、および修正手順について説明しています。
| 確認項目 | 危険 | 警告 | 安全 | 修正 |
|---|---|---|---|---|
| 弱いパスワード | 弱いパスワードが検出されました | N/A | 弱いパスワードは検出されませんでした | パスワードを 8~32 文字の長さに設定し、大文字、小文字、数字、特殊文字 (! @ # $ % ^ & * ( ) _ + - =) のうち少なくとも 3 種類を含めるようにします。ApsaraDB RDS for MySQL の場合、validate_password をインストールしてポリシーを適用し、SHOW VARIABLES LIKE 'validate_password%' を実行してアクティブであることを確認します。パスワードのリセット:RDS MySQL、PolarDB-X 2.0、PolarDB MySQL。 |
| ホワイトリスト | 0.0.0.0/0 があり、すべての IP アドレスが許可されています | 大規模なパブリック CIDR ブロック /8 が設定されています | 高リスクのホワイトリスト設定は検出されませんでした | ホワイトリストから不要な IP アドレスを削除します。インターネットに接続するデータベースの場合は、信頼できる IP アドレスと CIDR ブロックのみを許可してください。 |
| SSL 証明書 | N/A | SSL が無効になっています | SSL が有効になっています | 転送中のデータが傍受や改ざんから保護されるように、すべてのインターネットに接続するデータベースで SSL 暗号化を有効にしてください。 |
| バックアップ | 過去 7 日間にバックアップセットが生成されていません | 過去 2~7 日以内にバックアップセットが生成されています | 過去 1 日以内にバックアップセットが生成されています | ビジネス要件に基づいて、毎日または毎週の定期的なバックアップをスケジュールします。自動バックアップポリシーが設定されておらず、7 日間連続でバックアップが生成されない場合、インスタンスは「危険」とマークされます。PolarDB-X 2.0 はサポートされていません。 |
| 監査 | N/A | 監査ログ機能が無効になっています | 監査ログ機能が有効になっています | コンプライアンスの追跡とリアルタイムのセキュリティリスク検出をサポートするために、監査ログ機能を有効にしてください。 |
検査詳細の表示
リストで検査タスクを見つけ、[操作] 列の [詳細] をクリックすると、チェックごとの内訳が表示されます。
[詳細] パネルで [再検査] をクリックすると、そのインスタンスの検査を再実行できます。
結果のダウンロード
「[セキュリティベースラインチェック]」ページの右上隅にある 
アイコンをクリックして、検査結果をダウンロードします。
セキュリティ通知のサブスクライブ
右上の [サブスクライブ] スイッチをオンにすると、セキュリティ通知を受け取ることができます。これを有効にすると、次の場合に Alibaba Cloud からサイト内メッセージと SMS でアラートが送信されます:
セキュリティ脅威が受信または発見された場合。
規制当局は新しいコンプライアンス要件を発行します。
よくある質問
セキュリティベースラインチェックはデータベースパフォーマンスに影響しますか?
いいえ。検出プロセスでは軽量のデータ収集エージェントが使用されます。スキャンはビジネスのピーク時間帯には自動的に遅延され、中断を最小限に抑えます。
サポート
テクニカルサポートについては、DingTalk グループ 58255008752 にご参加ください。