ホストセキュリティ、脆弱性管理、ネットワークファイアウォール、Web アプリケーションのトラフィックセキュリティで Elastic Compute Service (ECS) インスタンスを保護します。
-
ホストは、Web アプリケーション、データベース、Object Storage Service (OSS) などのクラウドサービスが集約されるハブとして機能します。効果的なホストセキュリティサービスは、ウイルス対策機能と脅威検出機能を提供し、ウイルスやハッカーの攻撃から防御します。
-
Security Center を使用して、ECS インスタンスの脆弱性を検出し、修正します。また、Operation Orchestration Service (OOS) のパッチ管理機能を使用して、ECS インスタンスに不足しているパッチを一括で適用し、自動的にインストールすることもできます。
-
Cloud Firewall またはセキュリティグループを設定して、ウイルス侵入時の攻撃を限定された範囲に封じ込め、ビジネス全体への影響を防ぎます。
-
Web アプリケーションへの攻撃は、依然としてインターネットセキュリティの主要な脅威となっており、従来の Web ページだけでなく、API やミニアプリも標的としています。Web Application Firewall (WAF) と Anti-DDoS サービスを使用して、トラフィック攻撃や脆弱性攻撃から防御し、ビジネスの中断を防ぎます。
-
ActionTrail イベントを使用して、リスク分析、例外分析、行動分析を実行し、アプリケーションセキュリティの操作チェーンを追跡して欠陥を特定します。
ホストセキュリティ保護
-
機能紹介
Security Center Basic は、脆弱性検出、異常なログインの検出、AccessKey ペアの漏洩検出、コンプライアンスチェックで ECS インスタンスを保護します。「Security Center Basic」をご参照ください。
説明脆弱性の修正、ランサムウェア対策、Web サイト改ざん防止などの追加機能については、「Security Center の購入」をご参照ください。
-
設定方法
-
ECS コンソール:ECS インスタンスを作成する際に、[Security Reinforcement (Free)] を選択すると、脆弱性検出やコンプライアンスチェックなどの Security Center の機能が有効になります。
説明または、
SecurityEnhancementStrategyを Active に設定して RunInstances API を呼び出すことでも、セキュリティ強化を有効にできます。 -
Security Center コンソール:既存の ECS インスタンスに Security Center エージェントをインストールします。「エージェントのインストール」をご参照ください。
-
-
ECS インスタンスのセキュリティステータスの確認
-
ECS コンソール:インスタンスページで、[Monitoring] 列の
アイコンにカーソルを合わせると、セキュリティステータスを確認できます。[Process Now] をクリックしてアラートの詳細を表示します。ビジネスへの影響を防ぐために、重大度の高いリスクは速やかに処理してください。
-
Security Center コンソール:左側メニューで、 を選択して、ECS インスタンスのセキュリティ詳細を表示します。「サーバーの管理」をご参照ください。
-
脆弱性管理
脆弱性のスキャンと対処
-
機能紹介
Security Center は、オペレーティングシステム、Web コンテンツ管理システム、およびアプリケーションのセキュリティ脆弱性を検出し、深刻度を評価して、修正の優先順位を付けます。数回のクリックで脆弱性を修正し、攻撃対象領域を削減できます。
Security Center Basic は、Linux ソフトウェア、Windows システム、Web-CMS の脆弱性を 2 日ごとに自動的にスキャンします。手動スキャンをトリガーすることもできます。有料版では、脆弱性情報の自動更新と脆弱性の修正が追加されます。詳細については、「概要」をご参照ください。
-
設定方法
パッチベースラインによるセキュリティパッチの自動更新
-
機能紹介
OOS のパッチ管理は、ECS インスタンスにセキュリティパッチやその他のパッチを自動的にインストールします。Windows インスタンスへのサービスパックのインストール、Linux インスタンスのマイナーバージョンの更新、同じオペレーティングシステムを実行する複数のインスタンスへの一括パッチ適用が可能です。この機能は、不足しているパッチをスキャンし、自動的にインストールすることもできます。詳細については、「パッチ管理の概要」をご参照ください。
-
設定方法
パッチ管理を使用して、必要なシステムパッチを自動的にスキャン、ダウンロード、および ECS インスタンスにインストールします。
-
OOS コンソール:「パッチベースライン」および「オンデマンドでのパッチ適用」をご参照ください。
-
Web アプリケーションのネットワークセキュリティ保護
Cloud Firewall の設定
-
機能紹介
Cloud Firewall は、インターネット、Virtual Private Cloud (VPC)、およびホストの境界でクラウドアセットに一元的なセキュリティ分離とトラフィック管理を提供する SaaS サービスです。詳細については、「Cloud Firewall とは」をご参照ください。
-
設定方法
ネットワーク境界に基づいてファイアウォールを設定し、論理的な階層化とメンテナンスを行います。
-
インターネットトラフィックのみを保護するには、インターネットファイアウォールのインバウンドまたはアウトバウンドのアクセス制御ポリシーを設定します。
-
NAT ゲートウェイを介して、ECS インスタンスやエラスティックコンテナインスタンスなどの VPC リソースからインターネットへのアウトバウンドトラフィックを管理するには、NAT ファイアウォールを有効にし、インターネットファイアウォールのアクセス制御ポリシーを設定します。
-
インターネットトラフィックと ECS インスタンス間のトラフィックを保護するには、インターネットファイアウォールと内部ファイアウォールを併用します。
-
インターネットトラフィック、VPC 間トラフィック、VPC とデータセンター間のトラフィックを保護するには、インターネットファイアウォールとVPC ファイアウォールを併用します。
-
セキュリティグループの設定
-
機能紹介
セキュリティグループは、ECS インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールです。インバウンドルールを設定してインスタンスへのトラフィックを制御し、アウトバウンドルールを設定してインスタンスからのトラフィックを制御します。詳細については、「概要」をご参照ください。
-
設定方法
ECS インスタンスを作成するときに 1 つ以上のセキュリティグループを指定するか、既存のインスタンスをセキュリティグループに追加します。
Web アプリケーションのトラフィックセキュリティ保護
WAF の設定
-
機能紹介
WAF は、Web サイトやアプリケーション宛ての悪意のあるトラフィックをフィルタリングし、クリーンなトラフィックを Web サーバーに転送して、侵入から保護します。詳細については、「WAF とは」をご参照ください。
-
設定方法
ECS インスタンスのポートを WAF に追加して、Web トラフィックを WAF 経由で転送して検査します。WAF は悪意のあるトラフィックをフィルタリングし、クリーンなトラフィックをインスタンスに転送します。詳細については、「ECS インスタンスの WAF 保護を有効にする」をご参照ください。
Anti-DDoS Basic
-
機能紹介
Anti-DDoS Basic は、ECS インスタンスに対して 500 Mbit/s から 5 Gbit/s の範囲で無料の DDoS 緩和を提供します。詳細については、「Anti-DDoS Basic とは」をご参照ください。
説明Anti-DDoS Origin や Anti-DDoS Proxy などの上位エディションでは、追加の保護が提供されます。詳細については、「Anti-DDoS Origin とは」および「Anti-DDoS Proxy とは」をご参照ください。
Anti-DDoS Basic は、ECS インスタンスへのインバウンドトラフィックをリアルタイムで監視します。パブリック IP アドレスを持つインスタンスへのトラフィックがスクラビングのしきい値を超えると、Anti-DDoS Basic は自動的にトラフィックをスクラビングします。
-
設定方法
Anti-DDoS Basic はデフォルトで有効になっており、無効にすることはできません。手動での設定は不要です。
定期的な操作監査
-
機能紹介
ActionTrail は、セキュリティ分析、リソース変更追跡、コンプライアンス監査のために、Alibaba Cloud アカウントの操作を監視および記録します。ActionTrail は、リアルタイム監査のために、管理イベントを Simple Log Service (SLS) の Logstore または OSS のバケットに配信します。詳細については、「ActionTrail とは」をご参照ください。
ActionTrail コンソールで ECS リソースの管理イベントを照会します。「ECS のイベント監査」をご参照ください。エラーが発生した場合は、イベントの詳細を照会して、時刻、リージョン、および関連するインスタンスを取得します。
-
設定方法
ECS はデフォルトで ActionTrail と統合されています。手動での設定は不要です。