異常なログインを検出し、脆弱性をスキャンするために ECS コンソールで基本的なセキュリティサービスを有効にする - Elastic Compute Service

Elastic Compute Service (ECS) の基本的なセキュリティサービスには、異常ログイン検知と脆弱性スキャンが含まれます。 ECS インスタンスのセキュリティステータスは、ECS コンソールまたは Security Center コンソールでリアルタイムに表示できます。

背景情報

Alibaba Cloud Security Center は、脆弱性スキャン、基本的なアラート通知、異常ログイン検知、AccessKey ペアの漏洩検知、コンプライアンスチェックなど、ECS の基本的なセキュリティサービスを無料で提供しています。 ECS アセットのセキュリティ情報は、ECS コンソールの [概要] ページまたは Security Center コンソールで表示できます。詳細については、「Security Center とは」をご参照ください。

課金

基本的なセキュリティサービスの課金については、以下の点にご注意ください。

Security Center Basic Edition を使用している場合、ECS の基本的なセキュリティサービスは無料で提供されます。詳細については、「Security Center Basic の概要」をご参照ください。
Security Center Advanced Edition または Enterprise Edition にアップグレードする場合は、Security Center コンソールにログインして、Security Center Advanced Edition または Enterprise Edition の無料トライアルまたは購入を行ってください。 Security Center Advanced Edition および Enterprise Edition の課金方法については、「課金の概要」をご参照ください。

Security Center エージェントの使用

Security Center エージェントは、ECS インスタンスにインストールできる軽量のセキュリティコントロールです。 ECS インスタンスに Security Center エージェントがインストールされていない場合、ECS インスタンスは Security Center によって保護されません。インスタンスのセキュリティデータ（脆弱性、アラート、ベースラインの脆弱性、アセットフィンガープリントなど）は、ECS コンソールに表示されません。 Security Center エージェントのインストールパスについては、「Security Center エージェントでサポートされているオペレーティングシステム」をご参照ください。

Security Center エージェントを管理するには、次の操作を実行します。

ECS インスタンスの作成時に Security Center エージェントを自動的にインストールする。
1. ECS コンソール - インスタンスに移動します。
2. 上部のナビゲーションバーで、リージョンを選択します。
3. [インスタンスの作成] をクリックして、ECS インスタンスを作成します。 ECS インスタンス購入ページの [イメージ] セクションで、[無料セキュリティ強化] を選択して、インスタンスに Security Center エージェントを自動的にインストールします。詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。
説明
RunInstances オペレーションを呼び出して ECS インスタンスを作成する場合は、SecurityEnhancementStrategy を Active に設定して、インスタンスに Security Center エージェントを自動的にインストールします。
既存の ECS インスタンスに Security Center エージェントを手動でインストールする。
詳細については、「Security Center エージェントをインストールする」をご参照ください。
Security Center エージェントをアンインストールする。
詳細については、「Security Center エージェントをアンインストールする」をご参照ください。

セキュリティステータスの表示とセキュリティ問題の解決

ECS インスタンスのセキュリティステータスを表示し、セキュリティ問題を解決するには、次の手順を実行します。

ECS コンソール - インスタンスに移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
[インスタンス] ページで、管理する ECS インスタンスを見つけ、[モニター] 列のアイコンをクリックして Security Center コンソールにログインし、セキュリティレポートを表示します。
Security Center コンソールにログインして、脆弱性とアラートを処理します。脆弱性とアラートの処理方法については、「脆弱性を処理する」および「アラートを処理する」をご参照ください。

一般的なセキュリティ問題とシナリオ

一般的な脆弱性とアラート、およびそのシナリオについては、「脆弱性のカテゴリとシナリオ」および「アラートとシナリオ」をご参照ください。

脆弱性のカテゴリとシナリオ

脆弱性の重大度	説明	シナリオ	ソリューション	処理方法
高リスク	高リスクの脆弱性は、システムセキュリティを直接脅かします。脆弱性には、修正されていないシステムの脆弱性、SQL インジェクションの脆弱性、脆弱なパスワードが含まれます。脆弱性に注意し、できるだけ早く脆弱性を修正することをお勧めします。	修正されていないシステムの脆弱性： Linux や Windows などのオペレーティングシステムの高リスクの Common Vulnerabilities and Exposures (CVE)。できるだけ早く修正されていないリモートコード実行 (RCE) の脆弱性。	オペレーティングシステムとソフトウェアのセキュリティパッチを定期的に検出してインストールします。 Security Center の脆弱性スキャン機能を使用して、高リスクの脆弱性をできるだけ早く修正します。	Linux では、`yum update` または `apt-get update` コマンドを実行してアップデートをインストールします。 Windows では、Windows Update を使用して最新のパッチをインストールします。
		Web アプリケーションの脆弱性：データベースアクセス許可を直接取得できる SQL インジェクションの脆弱性。 Struts2 などのリモートコマンド実行の脆弱性。	ユーザー入力を厳密に検証およびフィルタリングします。 Web Application Firewall (WAF) を使用して、一般的な攻撃から保護します。	パラメータ化クエリを使用して SQL インジェクションを防ぐなど、コードのセキュリティ脆弱性を修正します。 Web フレームワークとコンポーネントを最新バージョンにアップデートします。
		サービス構成の脆弱性： Redis や MySQL などのサービスでパスワードが構成されていないか、インターネットに公開されている。 Docker への不正アクセス。	Redis や MySQL などの高リスクサービスをインターネットに公開しないでください。サービスに強力なパスワードを構成し、サービスにアクセスできる IP アドレスを制限します。	構成ファイルを変更して、サービスを内部 IP アドレスにバインドするか、ホワイトリスト設定を構成します。 Redis の `requirepass` 設定など、ID 認証機能を有効にします。
		マルウェア：マイニングトロイの木馬やバックドアプログラムなどの悪意のあるファイル。	システム内の悪意のあるファイルを定期的にスキャンして駆除します。 Security Center の不審なファイル検出機能を使用して、不審なファイルを検出し、悪意のあるファイルを削除します。	悪意のあるファイルを削除し、対応する脆弱性を修正します。影響を受けるサービスのパスワードをリセットします。
		脆弱なパスワードのリスク： SSH、リモートデスクトッププロトコル (RDP)、FTP などのサービスで、脆弱なパスワードまたはデフォルトのパスワードが使用されている。	パスワードに小文字、大文字、数字、特殊文字を含める必要がある強力なパスワードポリシーを使用します。多要素認証 (MFA) を有効にします。	脆弱なパスワードを強力なパスワードに変更します。デフォルトのアカウントを無効にするか、デフォルトのパスワードを変更します。
中リスク	中リスクの脆弱性は、クロスサイトスクリプティング (XSS)、ファイルアップロードの脆弱性、異常なログインなど、システムに害を及ぼす可能性があります。できるだけ早く脆弱性を修正することをお勧めします。	修正されていないソフトウェアの脆弱性： Apache、NGINX、Tomcat などのミドルウェアの中リスクの脆弱性。 MySQL や PostgreSQL などのデータベースの権限昇格の脆弱性。	ミドルウェアを定期的に最新バージョンにアップデートします。不要な機能モジュールを無効にします。	公式パッチをダウンロードしてインストールします。構成ファイルを変更して、高リスクの機能を無効にします。
		Web アプリケーションの脆弱性： XSS。悪意のあるファイルのアップロードにつながる可能性のあるファイルアップロードの脆弱性。	ユーザー入力と出力を厳密にフィルタリングおよびエンコードします。アップロードできるファイルの種類を制限し、ファイルサイズを制限します。	HTML を使用して出力をエンコードするなど、コードの XSS 脆弱性を修正します。チェックするファイルの種類を追加し、ウイルスをスキャンします。
		構成リスク： HTTPS が有効になっていない Web サービス。ポート 22 や 3389 などの高リスクポートで、IP アクセスが制限されていない。	HTTPS 暗号化通信を有効にします。不要なポートを閉じます。	SSL 証明書を構成し、HTTPS を有効にします。セキュリティグループルールを変更して、高リスクポートにアクセスできる IP アドレスを制限します。
		異常なログイン：複数回のログイン試行の失敗など、ブルートフォースの動作。	特定の回数連続してログインに失敗した後、アカウントをロックします。ログインできる IP アドレスを制限します。	SSH の `Fail2Ban` ツールを構成して、ブルートフォース攻撃を防ぎます。セキュリティグループルールを変更して、SSH や RDP などのサービスにアクセスできる IP アドレスを制限します。
		データ漏洩のリスク： .env ファイルなどの構成ファイルに機密情報が含まれている。	構成ファイルに機密情報を平文で保存しないでください。機密データを暗号化し、暗号化された機密データを保存します。	構成ファイルから機密情報を削除します。環境変数または Key Management Service (KMS) を使用して機密データを保存します。
低リスク	低リスクの脆弱性は、高リスクおよび中リスクの脆弱性よりもアセットへの害が少ないですが、低リスクの脆弱性が長期にわたって存在すると、構成リスクやコンプライアンスリスクなど、リスクが高まる可能性があります。低リスクの脆弱性は、都合の良いときに修正できます。	修正されていない低リスクの脆弱性：情報開示の脆弱性など、オペレーティングシステムまたはソフトウェアの低リスクの脆弱性。	システム内の低リスクの脆弱性を定期的にスキャンして修正します。	公式パッチまたはアップデートをインストールします。
		構成リスク：ログ監査機能が無効になっている。 SSL 証明書がすぐに更新されない。	ログ監査機能を有効にして、ログを定期的にチェックします。 SSL 証明書をできるだけ早く更新します。	Logrotate などのログ監査ツールを構成します。 SSL 証明書を更新し、SSL 証明書の自動更新を有効にします。
		コンプライアンスリスク： MFA が無効になっている。多層防御スキーム (MLPS) 2.0 や一般データ保護規則 (GDPR) などのコンプライアンス要件が満たされていない。	MFA を有効にします。コンプライアンス要件に基づいてシステム構成を変更します。	Alibaba Cloud 管理コンソールで MFA を有効にします。 MLPS 2.0 または GDPR の要件に基づいてセキュリティ設定を完了します。
		その他のリスク：未使用のサービスまたはポートが無効になっていない。	未使用のサービスとポートを無効にします。	`systemctl disable` コマンドを実行して、未使用のサービスを無効にします。セキュリティグループルールを変更して、未使用のポートを無効にします。

アラートとシナリオ

アラートタイプの詳細については、「概要」トピックの「アラートタイプ」セクションと「アラート」セクションをご参照ください。

タイプ	説明	シナリオ
異常なログイン	異常なログイン動作が検出されました。	不審なログイン：ECS インスタンスに、これまで使用されたことのない IP アドレスからログインされています。ブルートフォース攻撃：複数回のログイン試行が失敗しています。異常な時間帯のログイン：ECS インスタンスに、営業時間外にログインされています。
悪意のあるファイル	悪意のあるプログラムまたはファイルが検出されました。	マイニングトロイの木馬（XMRig など）。バックドアプログラム（WebShell など）。ウイルスまたはワーム：マルウェアの拡散。
ネットワーク攻撃	ECS インスタンスに対するネットワーク攻撃が検出されました。	DDoS 攻撃（SYN フラッド、UDP フラッドなど）。ポートスキャン：ECS インスタンスのポートをスキャンします。ブルートフォース攻撃（FTP サービスや MySQL サービスに対するブルートフォース攻撃など）。
データ漏洩	機密情報の漏洩または不正アクセスが検出されました。	機密情報の漏洩：データベースまたは構成ファイルが漏洩しています。不正アクセス：権限のないユーザーが機密リソースにアクセスしています。
構成リスク	不適切なシステムまたはサービスの構成によって引き起こされるセキュリティリスクが検出されました。	高リスクポートの公開：たとえば、ポート 22 と 3389 がインターネットに公開されています。 HTTPS が有効になっていない：Web サービスで HTTPS 暗号化が有効になっていません。
コンプライアンスリスク	セキュリティコンプライアンス要件を満たしていない動作が検出されました。	MFA が有効になっていない：MFA が無効になっています。ログ監査が有効になっていない：ログ監査機能が無効になっています。
その他のアラート	その他の潜在的なセキュリティの脅威または不審な動作が検出されました。	不審なプロセス：不明な悪意のあるプログラムが実行されています。ファイルの改ざん：システムの主要ファイルが改ざんされています。

アラート通知の構成

基本的なセキュリティサービスでは、セキュリティアラート項目のアラート通知を構成できます。アラート通知は、内部メッセージで送信できます。アラート通知を構成するには、次の手順を実行します。

ECS コンソール - 概要に移動します。
[概要] ページで、セキュリティスコアセクションの未処理の脆弱性の下にある [処理] をクリックして、Security Center コンソールに移動します。
左側のナビゲーションウィンドウで、[システム構成] > [通知設定] を選択します。
[アラート] 行までスクロールダウンし、アラートの重大度を指定してから、アラート通知を送信する方法と期間を選択します。アラートの重大度の詳細については、このトピックの「アラートのリスクレベル」セクションをご参照ください。
説明
Security Center を Security Center Advanced Edition または Enterprise Edition にアップグレードした場合は、「概要」でアラート通知を送信する他の方法についてご確認ください。

アラートのリスクレベル

Security Center によって生成されるアラートは、次のリスクレベルに分類されます。

リスクレベル	説明
緊急	緊急アラートは、アセットに損害を与えたり、永続的な影響を与えたりする動作によってトリガーされます。このタイプの動作は、リバースシェルなどの一般的な攻撃に似ています。緊急アラートは、アセットが攻撃を受けている可能性が高いことを示しています。アラートの詳細を表示し、できるだけ早くアラートを処理することをお勧めします。
不審	不審なアラートは、アセットに損害を与えたり、永続的な影響を与えたりする動作によってトリガーされます。このタイプの動作は、不審なユーザーの追加など、一部の O&M 動作に似ています。このタイプの動作は攻撃パスに関係している場合もありますが、不要です。このタイプの動作がなくても、アセットは攻撃される可能性があります。たとえば、攻撃によって残された痕跡の削除は、攻撃パスでは不要です。不審なアラートは、アセットが攻撃される可能性があることを示しています。アラートの詳細を表示し、リスクが存在するかどうかを確認することをお勧めします。リスクが存在する場合は、リスクを処理します。
リマインダー	リマインダーアラートは、攻撃パスでは不要な動作によってトリガーされます。このタイプの動作がなくても、アセットは攻撃される可能性があります。このタイプの動作は、不審なポートリスニングなど、一部の O&M 動作に似ています。アセットのセキュリティ要件が高い場合は、リマインダーアラートに注意してください。