Elastic Compute Service (ECS) コンソールまたは Security Center コンソールでは、異常なログインの検出、脆弱性のスキャン、ECS インスタンスのリアルタイムのセキュリティステータスの監視ができます。
背景情報
Security Center は、脆弱性スキャン、アラート通知、異常なログインの検出、AccessKey ペアの漏洩検出、コンプライアンスチェックなど、ECS インスタンス向けの無料の基本的なセキュリティサービスを提供します。この情報は、ECS コンソールの 概要 ページまたは Security Center コンソールで表示できます。
課金
次の課金の詳細にご注意ください:
-
ECS インスタンス向けの基本的なセキュリティサービスは無料です。詳細については、「Security Center の Free Edition の概要」をご参照ください。
-
Premium Edition または Enterprise Edition にアップグレードするには、Security Center コンソールで無料トライアルを開始するか、サービスを購入してください。各エディションの料金については、「課金概要」をご参照ください。
Security Center エージェントの使用
Security Center エージェントは、ECS インスタンスにインストールされる軽量コンポーネントです。エージェントがインストールされていないインスタンスは Security Center によって保護されず、そのセキュリティデータ (脆弱性、アラート、ベースラインチェック、アセットフィンガープリントなど) は ECS コンソールに表示されません。エージェントのインストールパスについては、「サポートされるオペレーティングシステム」をご参照ください。
Security Center エージェントは次のように管理します:
-
ECS インスタンス作成時にエージェントを自動的にインストールする
ECS コンソール - インスタンスに移動します。上部メニューで、対象のリージョンとリソースグループを選択します。
-
ECS インスタンスを作成します。イメージ セクションで、[Free Security Hardening] を選択します。エージェントは新しいインスタンスに自動的にインストールされます。詳細については、「ウィザードを使用したインスタンスの作成」をご参照ください。
RunInstances API を呼び出す際に、
SecurityEnhancementStrategy=Activeを設定することもできます。 -
既存の ECS インスタンスにエージェントを手動でインストールする
詳細については、「エージェントのインストール」をご参照ください。
-
エージェントをアンインストールする
詳細については、「エージェントのアンインストール」をご参照ください。
セキュリティステータスの表示とセキュリティ問題の修正
ECS インスタンスのセキュリティ問題を表示および修正するには:
ECS コンソール - インスタンスに移動します。上部メニューで、対象のリージョンとリソースグループを選択します。
-
[Instances] ページでインスタンスを見つけ、モニター 列の
アイコンをクリックして Security Center コンソールを開きます。 -
Security Center コンソールに移動して、脆弱性を修正し、セキュリティアラートを処理します。
一般的なセキュリティシナリオ
一般的な脆弱性とセキュリティアラートのシナリオについては、「脆弱性のカテゴリとシナリオ」および「セキュリティアラートのシナリオ」をご参照ください。
アラート通知の設定
基本的なセキュリティサービスは、内部メッセージとしてアラート通知を送信します。アラート通知は次のように設定します:
-
概要 ページで、 エリアの保留中のタスクにカーソルを合わせ、セキュリティスコア エリアの ビュー をクリックして Security Center コンソールを開きます。
-
左側メニューで、 を選択します。
-
[Alerts] セクションで、アラートレベルを選択し、通知方法とスケジュールを設定します。アラートレベルの定義については、「セキュリティアラートのリスクレベル」をご参照ください。
Premium Edition または Enterprise Edition にアップグレードした場合、追加の通知方法については、「クラウドワークロード保護プラットフォーム (CWPP) のセキュリティアラートの概要」をご参照ください。
セキュリティアラートのリスクレベル
Security Center は、アラートを次のリスクレベルに分類します:
リスクレベル | 説明 | 推奨される操作 |
緊急 |
| 即時対応。推奨される操作:アセットの隔離、不審なネットワーク接続のブロック、攻撃現場の保全。 |
不審 |
| 分析が必要。計画された O&M 操作であるかを確認します。そうである場合は、動作をホワイトリストに追加します。そうでない場合は、緊急アラートとして処理します。 |
注意 | アラートの動作は、攻撃経路において必須ではないステップであり、「不審なポートリッスン動作」など、通常の O&M 動作に類似しています。 | 監査と最適化。これを使用して、非準拠の設定や潜在的なリスクを見つけます。定期的にセキュリティポリシーを確認し、最適化します。即時の対応は必要ありません。 |