Data Security Center (DSC) は、システムホワイトリスト機能を提供します。信頼できる IP アドレスや、資産タイプ、インスタンス、データベース、テーブル、アカウント、操作タイプなどのデータ資産をホワイトリストに追加できます。DSC は、ホワイトリストに登録されたデータ資産または IP アドレスから発生した危険な動作に対して監査アラートを生成しません。これにより、無効なアラートを減らすことができます。このトピックでは、システムホワイトリストの追加、編集、削除の方法について説明します。
前提条件
ホワイトリスト設定をサポートするデータ資産の権限を付与していること:
RDS、PolarDB、PolarDB-X、OceanBase、Table Store、AnalyticDB for MySQL、および AnalyticDB for PostgreSQL におけるデータ資産。詳細については、「汎用データベースの権限を付与する」をご参照ください。
OSS のデータ資産。詳細については、「非構造化データ (OSS および SLS) の権限付与」をご参照ください。
MaxCompute のデータ資産。詳細については、「MaxCompute の権限付与」をご参照ください。
背景情報
DSC は、権限が付与されたデータ資産に対する危険なアクティビティの監査アラート検出を提供します。この機能はデフォルトで有効になっており、組み込みの監査アラートルールを使用します。
組み込みの監査ルールタイプには、異常操作ルール、データ漏洩ルール、脆弱性攻撃ルール、SQL インジェクションルール、危険な操作ルールが含まれます。カスタム監査ルールを追加して有効にすることもできます。詳細については、「監査アラートルールの設定と有効化」をご参照ください。
特定の IP またはアカウントからのデータベースアクティビティが正常であることを確認した場合は、ホワイトリストルールを追加できます。その後のチェックでホワイトリストルールにヒットした場合、DSC は対応するデータベースまたは OSS の操作やイベントに対してアラートを生成しません。
監査アラートを処理する際に、ソースをホワイトリストに追加することを選択すると、ホワイトリストに登録されたアカウントまたは IP アドレスがシステムホワイトリストに追加されます。ホワイトリストのルール名は、アラート時間 + 監査アラートルール名 の形式になります。例: 2024-05-21 20:58:09 OSS rule test。詳細については、「監査アラートの表示と処理」をご参照ください。
制限
単一のホワイトリストルール内:
資産タイプは 1 つしか選択できません。
少なくとも 1 つのアカウント、IP アドレス、または IP 範囲を設定する必要があります。
IP アドレスまたは IP 範囲の総数は 10 を超えることはできません。アカウントの数は 10 を超えることはできません。
ルールに複数のインスタンスや複数のアカウントなど、異なるカテゴリの複数の項目が含まれている場合、カテゴリ間では論理 AND が適用されます。同じカテゴリ内の項目間では論理 OR が適用されます。たとえば、インスタンス A、インスタンス B、アカウント A、アカウント B を含むルールを設定した場合、ロジックは (インスタンス A OR インスタンス B) AND (アカウント A OR アカウント B) となります。
変更が有効になるタイミング
システムホワイトリストを追加、編集、または削除した後、変更は 1 分以内にすべての監査アラートに対して有効になります。
ホワイトリストルールの追加
特定のデータ資産、IP アドレス、または IP 範囲をシステムホワイトリストに追加して、監視および監査検出から除外できます。
Data Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ホワイトリスト] ページで、[ホワイトリストの追加] をクリックします。
[ホワイトリストの追加] ダイアログボックスで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ルール名
ホワイトリストルールのカスタム名を入力します。識別しやすい名前を使用してください。名前は最大 100 文字です。
IP
ホワイトリストに追加する IP アドレスまたは IP 範囲を入力します。
最大 10 個の IP アドレスまたは IP 範囲を入力できます。複数のエントリを区切るには、改行またはカンマを使用します。
データ資産
資産タイプを選択し、ページ上のプロンプトに従って、RDS 資産のインスタンス、データベース、テーブル名、アカウントなど、対応する資産を選択します。
複数の資産インスタンスとアカウントを選択できます。[アカウント] ドロップダウンリストをクリックし、アカウントリストの最後にある [カスタムアカウントの追加] をクリックして、複数のカスタムアカウントを入力します。
操作タイプ
デフォルト値はすべての操作タイプです。必要に応じて、データ資産に対して 1 つ以上の操作タイプを選択できます。
ホワイトリストルールを追加した後、ホワイトリストルールのリストでルールを検索して表示できます。資産タイプ、ルール名、またはその他の条件でルールをフィルターできます。
ホワイトリストルールの編集または削除
特定の IP またはアカウントに関連付けられたデータ資産の検出と監査アラートを再度有効にするには、対応するホワイトリストルールを編集または削除できます。
既存のホワイトリストルールを編集する場合、資産タイプは変更できません。
Data Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ターゲットのホワイトリストルールを見つけ、[アクション] 列の [編集] または [削除] をクリックして、ルールを変更または削除します。
参照
Alibaba Cloud SDK を使用して次の API 操作を呼び出し、権限が付与されたデータ資産に関する情報をクエリできます。Data Security Center でサポートされている言語と依存関係のインストール方法については、「Data Security Center SDK」をご参照ください。Alibaba Cloud SDK の統合方法については、「Alibaba Cloud SDK」をご参照ください。
権限が付与された資産のリストをクエリするには、「DescribeParentInstance」をご参照ください。
権限が付与されたインスタンス、データベース、バケットのリストをクエリするには、「DescribeDataLimits」をご参照ください。
特定のプロダクトの権限が付与されたインスタンス、データベース、またはバケットのリストをクエリするには、「DescribeDataLimitSet」をご参照ください。