Database Autonomy Service:セキュリティベースラインチェック

セキュリティベースラインチェック

• スコープ

  • データベース構成: パスワードポリシーの複雑さをチェックします。たとえば、ApsaraDB RDS for MySQL データベースに強力なパスワードポリシーを構成できます。

  • ネットワーク構成: ホワイトリストベースのアクセス制御と SSL セキュリティ構成をチェックします。

  • アクセス制御: 脆弱なパスワードをチェックします。

  • ストレージプール: バックアップ設定をチェックします。

    説明

    データベースでイベントが発生した場合、バックアップは非常に重要です。たとえば、データベースを誤ってロックまたは削除した場合、バックアップからデータベースを復元できます。

  • イベント後のセキュリティ: 追跡および検出機能を提供するために監査ログ機能が有効になっているかどうかをチェックします。

• チェックメカニズム

  即時チェック: 特定のコンプライアンスチェックを手動で開始できます。

脆弱なパスワードの検出

• 検出モデル

  • インターネット上で見つかった何千万もの一般的な脆弱なパスワードを含む辞書ライブラリを使用し、クラウドセキュリティチームと協力して新しい脆弱なパスワードを特定します。

  • パスワード強度ポリシーのバッチ検出をサポートします。

• 保護対策

  脆弱なパスワードを持つアカウントが特定されると、セキュリティアラートがトリガーされます。

1. DAS コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[セキュリティセンター] >[セキュリティベースラインチェック] を選択します。

   • [セキュリティベースラインチェック] ページで、[検査を開始] をクリックします。表示されるダイアログボックスで、検査するインスタンスを選択し、 アイコンをクリックしてインスタンスを右側の [選択済みインスタンス] セクションに追加し、[OK] をクリックします。

     説明

     セキュリティ検査には、選択したインスタンスの数と複雑さによっては、数分から数十分かかる場合があります。その後、[セキュリティベースラインチェック] ページに戻って検査結果を表示できます。

     

   • 検査結果はリストに表示され、各インスタンスは 1 行のデータで表されます。

     説明

     検査結果は、赤 (危険)、黄 (警告)、緑 (安全) の色で強調表示されます。

     

     チェック項目	チェックルール	説明
     脆弱なパスワード	危険: 脆弱なパスワードが検出されました。 警告: 該当なし。 安全: 脆弱なパスワードは検出されませんでした。	脆弱なパスワードを持つアカウントが存在するかどうかを示します。
     ホワイトリスト	危険: 0.0.0.0/0 がホワイトリストに追加されており、すべての IP アドレスがアカウントにアクセスできます。 警告: ホワイトリストに大規模なパブリック CIDR ブロック /8 が構成されています。 安全: ハイリスクなホワイトリスト構成は検出されませんでした。	IP アドレスのホワイトリストがセキュリティ仕様に準拠しているかどうかを示します。 説明 インスタンスがインターネットに公開されており、ホワイトリストに 0.0.0.0/0 または /8 などの大規模なパブリック CIDR ブロックが構成されている場合、ホワイトリストのセキュリティリスクが存在します。
     SSL 証明書	危険: 該当なし。 警告: インスタンスで SSL が無効になっています。 安全: インスタンスで SSL が有効になっています。	データベース接続で SSL 暗号化が有効になっているかどうかを示します。
     バックアップ	危険: 過去 7 日間にバックアップセットが生成されていません。 警告: バックアップセットは、過去 2 ～ 7 日以内に生成されています。 安全: バックアップセットは、過去 1 日以内に生成されています。	最新のバックアップセットが生成された時刻は、バックアップポリシーに関連しています。 説明 PolarDB-X 2.0 はサポートされていません。 自動バックアップポリシーが構成されておらず、7 日間連続してバックアップセットが生成されていない場合、インスタンスは [危険] とマークされます。
     監査	危険: 該当なし。 警告: 監査ログ機能が無効になっています。 安全: 監査ログ機能が有効になっています。	ログ監査機能が有効になっているかどうかを示します。

   • 検査タスクを見つけ、[アクション] 列の [詳細] をクリックして、検査の詳細を表示します。

     説明

     [詳細] パネルで、インスタンスを再検査する場合は、[再検査] をクリックします。

     

   • アイコンをクリックして、[セキュリティベースラインチェック] ページの右上隅にある検査結果をダウンロードします。

     

   • 右上隅にある [サブスクライブ] スイッチをオンにして、サブスクリプションサービスを有効にできます。

     説明

     サブスクリプションサービスを有効にすると、次の重要なイベントが発生したときに、Alibaba Cloud は内部メッセージや SMS メッセージなどの複数の方法でできるだけ早くセキュリティ通知を送信します。

     • Alibaba Cloud がセキュリティの脅威を受信または発見した場合。

     • 国家サイバースペース管理局などの規制当局が最新のコンプライアンス要件を発行した場合。

     

セキュリティリスクが検出された場合は、次の操作を実行して問題を修正します。

• 脆弱なパスワード: データベースのパスワードが複雑さの要件に準拠していることを確認します。特に、インターネットに公開する必要があるデータベースの場合は、必ず確認してください。

  説明

  ApsaraDB RDS for MySQL データベースを使用する場合は、validate_password をインストールすることをお勧めします。パスワードをリセットした後、SHOW VARIABLES LIKE 'validate_password%' 文を実行して、新しいパスワードが有効になっているかどうかを確認できます。

  • パスワードは 8 ～ 32 文字の長さである必要があります。

  • 大文字、小文字、数字、特殊文字のうち、少なくとも 3 種類の文字を含める必要があります。

  • 特殊文字には、! @ # $ % ^ & * ( ) _ + - = が含まれます。

  • 各データベースタイプのパスワードのリセット方法の詳細については、次のトピックを参照してください。

    • RDS MySQL

    • PolarDB-X 2.0

    • PolarDB MySQL

• ホワイトリスト: インターネットに公開されているデータベースのホワイトリスト設定を変更し、ホワイトリストから不要な IP アドレスを削除することをお勧めします。信頼できる IP アドレスのみがデータベースにアクセスできるようにして、潜在的なセキュリティリスクを軽減します。

• SSL 証明書: データベースがインターネットに公開されている場合は、SSL 暗号化を有効にして転送中のデータを保護することを強くお勧めします。これにより、データの傍受や不正な変更などのセキュリティリスクを防ぎます。

• バックアップ: ビジネス要件に基づいて、毎日または毎週などの適切な間隔でデータベースをバックアップする必要があります。これにより、緊急時にデータのセキュリティと業務継続性が確保されます。

• 監査ログ: データベースの監査ログ機能を有効にすることをお勧めします。この機能は、アカウンタビリティとコンプライアンスを促進し、セキュリティリスクをリアルタイムで検出し、データベースのセキュリティレベルを向上させます。