ECS コンソールで基本的なセキュリティサービスを有効にして、異常なログインを検出し、脆弱性をスキャンする - Elastic Compute Service

Alibaba Cloud ECS の基本的なセキュリティサービスには、異常なログインの検出や脆弱性スキャンなどの機能が含まれています。ECS インスタンスのリアルタイムのセキュリティステータスは、ECS コンソールまたは Security Center コンソールで表示できます。

背景情報

Alibaba Cloud Security Center は、ECS インスタンスに基本的なセキュリティサービスを無料で提供します。これらのサービスには、脆弱性スキャン、基本的なアラート通知、異常なログインの検出、AccessKey ペアの漏洩検出、コンプライアンスチェックが含まれます。このセキュリティ情報は、ECS コンソールの [概要] ページまたは Security Center コンソールで表示できます。詳細については、「Security Center とは」をご参照ください。

課金

基本的なセキュリティサービスの課金については、次の点にご注意ください。

ECS インスタンスの基本的なセキュリティサービスは無料です。詳細については、「Security Center の Free Edition の概要」をご参照ください。
Security Center の Premium または Enterprise Edition にアップグレードするには、Security Center コンソールで無料トライアルを開始するか、サービスを購入できます。Premium および Enterprise Edition の課金については、「課金の概要」をご参照ください。

Security Center エージェントの使用

Security Center エージェントは、ECS インスタンスにインストールされる軽量コンポーネントです。エージェントがインストールされていない ECS インスタンスは、Security Center によって保護されません。これらのインスタンスの脆弱性、アラート、ベースラインの脆弱性、資産のフィンガープリントなどのセキュリティデータは、ECS コンソールに表示されません。Security Center エージェントのインストールパスについては、「サポートされているオペレーティングシステム」をご参照ください。

Security Center エージェントは、次の方法で管理できます。

ECS インスタンスの作成時に Security Center エージェントを自動的にインストールする
1. ECS コンソール - インスタンスに移動します。上部のナビゲーションバーで、ターゲットリージョンとリソースグループを選択します。
2. ECS インスタンスを作成します。[イメージ] セクションで、[無料のセキュリティ強化] を選択します。システムは、新しい ECS インスタンスに Security Center エージェントを自動的にインストールします。詳細については、「ウィザードを使用してインスタンスを作成する」をご参照ください。
RunInstancesSecurityEnhancementStrategy=Active
既存の ECS インスタンスに Security Center エージェントを手動でインストールする
詳細については、「エージェントのインストール」をご参照ください。
Security Center エージェントをアンインストールする
詳細については、「エージェントのアンインストール」をご参照ください。

セキュリティステータスの表示とセキュリティ問題の修正

ECS インスタンスのセキュリティステータスを表示し、セキュリティ問題を修正するには、次の手順に従います。

ECS コンソール - インスタンスに移動します。上部のナビゲーションバーで、ターゲットリージョンとリソースグループを選択します。
「インスタンス」ページで目的のインスタンスを見つけ、[モニタリング] 列のアイコンをクリックすると、Security Center コンソールが開き、セキュリティレポートを表示できます。
Security Center コンソールに移動して、脆弱性とセキュリティアラートを修正します。詳細については、「脆弱性の修正」および「セキュリティアラートの分析と処理」をご参照ください。

一般的なセキュリティシナリオ

一般的な脆弱性とセキュリティアラートのシナリオについては、「脆弱性のカテゴリとシナリオ」および「セキュリティアラートのシナリオ」をご参照ください。

脆弱性のカテゴリとシナリオ

脆弱性レベル	説明	一般的なシナリオ	対策	修正
高リスクの脆弱性	これらの脆弱性は、未パッチのシステム脆弱性、SQL インジェクション、弱いパスワードなど、システムのセキュリティに直接的な脅威をもたらします。これらの脆弱性に細心の注意を払い、できるだけ早く修正してください。	未パッチのシステム脆弱性: Linux や Windows などのオペレーティングシステムの高リスクの共通脆弱性識別子 (CVE)。迅速に修正されないリモートコード実行 (RCE) の脆弱性。	オペレーティングシステムとソフトウェアのセキュリティパッチを定期的に確認してインストールします。 Security Center の脆弱性スキャン機能を使用して、高リスクの脆弱性を迅速に修正します。	Linux の場合: `yum update` または `apt-get update` を実行して更新をインストールします。 Windows の場合: Windows Update を使用して最新のパッチをインストールします。
		Web アプリケーションの脆弱性: 直接的なデータベース権限を付与する可能性のある SQL インジェクションの脆弱性。 Struts2 の脆弱性などのリモートコマンド実行の脆弱性。	ユーザー入力を厳密に検証およびフィルターします。 Web Application Firewall (WAF) を使用して、一般的な攻撃から防御します。	コード内のセキュリティ脆弱性を修正します。たとえば、パラメーター化クエリを使用して SQL インジェクションを防ぎます。 Web フレームワークとコンポーネントを最新バージョンに更新します。
		サービス構成の脆弱性: Redis や MySQL などのサービスにパスワードがないか、インターネットに公開されています。 Docker の不正アクセス脆弱性。	Redis や MySQL などの高リスクサービスをインターネットに公開しないでください。強力なパスワードを設定し、IP アドレスによるアクセスを制限します。	構成ファイルを変更して、サービスを内部ネットワーク IP アドレスにバインドするか、ホワイトリストを構成します。 Redis の `requirepass` 設定などの ID 検証機能を有効にします。
		マルウェア: マイニングトロイの木馬やバックドアなどの悪意のあるファイル。	システムを定期的にスキャンして、悪意のあるファイルを検出して削除します。 Security Center の悪意のあるファイル検出機能を使用します。	悪意のあるファイルを削除し、関連する脆弱性を修正します。影響を受けるサービスのパスワードをリセットします。
		弱いパスワードのリスク: SSH、RDP、FTP などのサービスは、弱いパスワードまたはデフォルトのパスワードを使用しています。	強力なパスワードポリシーを使用します。パスワードには、大文字、小文字、数字、特殊文字を含める必要があります。多要素認証 (MFA) を有効にします。	弱いパスワードを強力なパスワードに変更します。デフォルトのアカウントを無効にするか、デフォルトのパスワードを変更します。
中リスクの脆弱性	これらの脆弱性は、クロスサイトスクリプティング (XSS) 攻撃、ファイルアップロードの脆弱性、異常なログインなど、システムに何らかの損害を与える可能性があります。これらの脆弱性を迅速に修正してください。	未パッチのソフトウェア脆弱性: Apache、Nginx、Tomcat などのミドルウェアの中リスクの脆弱性。 MySQL や PostgreSQL などのデータベースの権限昇格の脆弱性。	ミドルウェアを定期的に最新バージョンに更新します。不要な機能モジュールをオフにします。	公式パッチをダウンロードしてインストールします。構成ファイルを変更して、高リスクの機能を無効にします。
		Web アプリケーションの脆弱性: クロスサイトスクリプティング (XSS) 攻撃。悪意のあるファイルのアップロードにつながる可能性のあるファイルアップロードの脆弱性。	ユーザーの入力と出力を厳密にフィルターおよびエンコードします。アップロードできるファイルの種類とサイズを制限します。	コード内の XSS 脆弱性を修正します。たとえば、出力コンテンツに HTML エンコーディングを使用します。ファイルアップロードにファイルタイプのチェックとウイルススキャンを追加します。
		構成リスク: HTTPS が有効になっていない Web サービス。 22 や 3389 などの高リスクポートで、IP アドレスによるアクセスが制限されていません。	HTTPS 暗号化通信を有効にします。不要なポートを閉じます。	SSL 証明書を構成し、HTTPS を有効にします。セキュリティグループルールを変更して、IP アドレスによる高リスクポートへのアクセスを制限します。
		異常なログイン: ブルートフォース攻撃が検出されました。たとえば、複数回のログイン試行の失敗などです。	ログイン失敗時のロックアウトメカニズムを有効にします。ログイン IP アドレス範囲を制限します。	SSH 用に `Fail2Ban` ツールを構成して、ブルートフォース攻撃を防ぎます。セキュリティグループルールを変更して、SSH や RDP などのサービスへの IP アドレスによるアクセスを制限します。
		データ漏洩リスク: .env ファイルなどの構成ファイルに機密データが含まれています。	構成ファイルに機密データをプレーンテキストで保存しないでください。機密データを暗号化して保存します。	構成ファイルから機密データを削除します。環境変数または Key Management Service (KMS) を使用して機密データを保存します。
低リスクの脆弱性	これらの脆弱性はシステムへの影響は軽微です。ただし、対処しないでおくと、構成リスクやコンプライアンスリスクなど、リスクが増大する可能性があります。これらの修正は後でスケジュールできます。	未パッチの低リスク脆弱性: 情報漏洩の脆弱性など、オペレーティングシステムまたはソフトウェアの低リスクの脆弱性。	システムを定期的にスキャンし、低リスクの脆弱性を修正します。	公式パッチまたは更新をインストールします。
		構成リスク: ログ監査機能が有効になっていません。 SSL 証明書が迅速に更新されていません。	ログ監査機能を有効にし、定期的にログを確認します。 SSL 証明書を迅速に更新します。	Logrotate などのログ監査ツールを構成します。 SSL 証明書を更新し、自動更新を構成します。
		コンプライアンスリスク: 多要素認証 (MFA) が有効になっていません。 MLPS 2.0 や一般データ保護規則 (GDPR) などのコンプライアンス要件を満たしていません。	多要素認証 (MFA) を有効にします。コンプライアンス要件に基づいてシステム構成を調整します。	Alibaba Cloud コンソールで MFA を有効にします。 MLPS 2.0 または GDPR の要件を参照して、セキュリティ構成を改善します。
		その他のリスク: 未使用のサービスまたはポートが閉じられていません。	未使用のサービスとポートを閉じます。	`systemctl disable` を使用して未使用のサービスを閉じます。セキュリティグループルールを変更して、未使用のポートを閉じます。

セキュリティアラートのシナリオ

セキュリティアラートの種類については、「Cloud Workload Protection Platform (CWPP) のセキュリティアラートの概要」および「Cloud Workload Protection Platform (CWPP) のセキュリティアラートの概要」をご参照ください。

アラートタイプ	説明	一般的なシナリオ
異常なログイン	異常なログイン動作が検出されました。	異常なログイン場所: これまで使用されたことのない IP アドレスからのログイン。ブルートフォース攻撃: 複数回のログイン試行の失敗。異常なログイン時間: 勤務時間外のログイン。
悪意のあるファイル	悪意のあるプログラムまたはファイルが検出されました。	マイニングトロイの木馬: XMRig など。バックドアプログラム: webshell など。ウイルスまたはワーム: マルウェアの伝播動作。
ネットワーク攻撃	ECS インスタンスに対するネットワーク攻撃が検出されました。	DDoS 攻撃: SYN フラッドや UDP フラッドなど。ポートスキャン: ECS インスタンスのポートのスキャン。ブルートフォース攻撃: FTP や MySQL サービスへのブルートフォース攻撃など。
データ漏洩	機密データの漏洩または不正アクセスが検出されました。	機密データの漏洩: データベースまたは構成ファイルが漏洩しました。不正アクセス: 権限のないユーザーが機密リソースにアクセスします。
構成リスク	不適切なシステムまたはサービスの構成によって引き起こされるセキュリティリスクが検出されました。	高リスクポートの公開: 22 や 3389 などのポートがインターネットに公開されています。 HTTPS が有効になっていない: Web サービスで HTTPS 暗号化が有効になっていません。
コンプライアンスリスク	セキュリティコンプライアンス要件を満たさない動作が検出されました。	MFA が有効になっていない: 多要素認証が有効になっていません。ログ監査が有効になっていない: ログ監査機能が有効になっていません。
その他のアラート	その他の潜在的なセキュリティ脅威または異常な動作が検出されました。	異常なプロセス: 不明な悪意のあるプログラムが実行されています。ファイルの改ざん: 重要なシステムファイルが改ざんされています。

アラート通知の設定

基本的なセキュリティサービスは、セキュリティアラートのアラート通知をサポートしています。通知は内部メッセージとして送信されます。アラート通知は次のように構成できます。

ECS コンソール
[概要] ページで、エリアの保留中のタスクにカーソルを合わせ、右側の [セキュリティスコア] エリアの [今すぐ処理] をクリックして Security Center コンソールを開きます。
左側のナビゲーションウィンドウで、[システム設定] > [通知設定] を選択します。
[セキュリティアラート] セクションで、アラートレベルを選択し、通知方法とスケジュールを構成します。セキュリティアラートレベルの詳細については、「セキュリティアラートのリスクレベル」をご参照ください。
Security Center の Premium または Enterprise Edition にアップグレードした場合、その他の通知方法については、「Cloud Workload Protection Platform (CWPP) のセキュリティアラートの概要」をご参照ください。

セキュリティアラートのリスクレベル

Security Center は、セキュリティアラートを次のリスクレベルに分類します。

リスクレベル	説明
緊急	緊急アラートは、資産に損害を与えたり、持続的な影響を与えたりする動作によってトリガーされます。このタイプの動作は、リバースシェルなどの一般的な攻撃に似ています。緊急アラートは、資産が攻撃されている可能性が高いことを示します。アラートの詳細を表示し、できるだけ早くアラートを処理することをお勧めします。
不審	不審なアラートは、資産に損害を与えたり、持続的な影響を与えたりする動作によってトリガーされます。このタイプの動作は、不審なユーザーの追加などの一部の O&M 動作に似ています。このタイプの動作は攻撃パスに含まれる場合もありますが、必須ではありません。このタイプの動作がなくても、資産は攻撃される可能性があります。たとえば、攻撃によって残された痕跡の削除は、攻撃パスでは不要です。不審なアラートは、資産が攻撃される可能性が一定程度あることを示します。アラートの詳細を表示し、リスクが存在するかどうかを確認することをお勧めします。リスクが存在する場合は、リスクを処理してください。
リマインダー	リマインダーアラートは、攻撃パスでは不要な動作によってトリガーされます。このタイプの動作がなくても、資産は攻撃される可能性があります。このタイプの動作は、不審なポートリッスンなどの一部の O&M 動作に似ています。資産に高いセキュリティ要件がある場合は、リマインダーアラートに注意してください。