ドメイン名のハイジャック、不正な転送、または DNS の改ざんは、サービスの中断、ユーザー情報の漏洩、ブランドの評判の毀損、および重大な金銭的損失を引き起こす可能性があります。Alibaba Cloud は、アカウント、レジストラーおよび DNS 解析レイヤーをカバーする防御システムを提供します。このシステムは、基本的な保護からエンタープライズグレードの高度なセキュリティまでのシナリオに対応する柔軟な構成をサポートします。
このトピックでは、利用可能なセキュリティ機能について説明し、ロールとビジネスシナリオに基づいて有効にする保護手段を決定するのに役立ちます。各機能の詳細な構成手順と技術情報については、各機能のドキュメントをご参照ください。
Alibaba Cloud のコアセキュリティ機能
保護レイヤー | セキュリティ機能 | コア保護目標 | コスト |
アカウントレイヤー | MFA | ユーザー名とパスワードに加えてセキュリティレイヤーを追加することで、アカウントの盗難を防ぎます。 | 無料 |
レジストラーレイヤー | 転送禁止ロック | ドメイン名が他のレジストラーに悪意を持って転送されるのを防ぎます。 | 無料 |
更新禁止ロック | 連絡先情報や DNS サーバーなどの主要な設定の改ざんを防ぎます。 | 無料 | |
解析レイヤー | DNSSEC | DNS ハイジャックとキャッシュ汚染を防ぎ、ユーザーが実際のサーバーにアクセスできるようにします。 | 有料 |
推奨シナリオ
ビジネスシナリオの推奨事項に基づいて設定を構成できます。
ユーザータイプ | 典型的なシナリオ | 推奨される保護 |
個人開発者またはブロガー | - ドメイン名は主に表示または学習目的で使用されます。 | MFA + 転送禁止ロック |
中小企業 (SME) のオペレーター | - ウェブサイトはオンラインで、外部ユーザーにサービスを提供します。 | MFA + 転送禁止ロック + 更新禁止ロック |
エンタープライズ IT または運用保守 (O&M) オーナー | - プライマリドメイン名は、ログインシステム、支払いページ、またはメンバーサービスをホストします。 | MFA + 転送禁止ロック + 更新禁止ロック + DNSSEC |
保護機能の概要
多要素認証 (MFA)
MFA は、アカウントのセキュリティを向上させるためのベストプラクティスです。ユーザー名とパスワードに加えて、保護レイヤーを追加します。
MFA を有効にすると、Alibaba Cloud にログインするために次の 2 つのステップを完了する必要があります。
第 1 要素: ユーザー名とパスワードを入力します。
第 2 要素: 仮想 MFA デバイスによって 30 秒ごとに生成される 6 桁の動的検証コードなど、別の認証方式を使用します。
二要素認証を使用すると、パスワードが漏洩した場合でも、権限のないユーザーはアカウントにログインできません。このメソッドは、アカウントの盗難を効果的に防ぎ、セキュリティを大幅に向上させます。詳細については、「アカウントの MFA を構成する」をご参照ください。
転送禁止ロック
この機能を有効にすると、レジストラーレベルでドメイン名のステータスが `clientTransferProhibited` に設定されます。これにより、ドメイン名が Alibaba Cloud から悪意を持って転送されるのを防ぎます。
ドメイン名転送パスワードを取得するには、まず転送禁止ロックを無効にする必要があります。
転送禁止ロックを有効にする方法の詳細については、「転送禁止ロックを設定する」をご参照ください。
更新禁止ロック
このロックを有効にすると、ドメイン名の連絡先、電話番号、住所、FAX 番号、メールアドレスなどのドメイン名登録情報、および DNS サーバーへの不正な変更を防ぎます。更新禁止ロックは現在、.com、.net、.org、.info、.biz、.mobi、.asia、.me、.so、.cc、.tv、.name、.cn などのサフィックスを持つドメイン名でサポートされています。
更新禁止ロックを有効にする方法の詳細については、「更新禁止ロックを有効にする」をご参照ください。
DNSSEC
ドメインネームシステムセキュリティ拡張 (DNSSEC) は、デジタル署名を使用して、ソースドメインからの DNS データの信頼性と完全性を検証します。ドメイン名に DNSSEC レコードを追加すると、身分認証が強化され、DNS キャッシュ汚染などの攻撃を防ぐのに役立ちます。詳細については、「DNSSEC を構成する」をご参照ください。