アカウントの保護、オペレーティングシステムの強化、データの暗号化、ネットワークの分離、多層防御システムの構築を行い、ECS インスタンスを保護してください。
背景
Alibaba Cloud は、データセンターや仮想化プラットフォームなどの基盤インフラストラクチャを保護します。お客様は、セキュリティのベストプラクティスに従って、アカウントを保護し、情報の機密性を維持し、権限を管理する必要があります。
クラウドセキュリティの動向
サイバーセキュリティの脅威
サイバーセキュリティの脅威は急速に増加しています。Splunk の State of Security 2022 レポートでは、次のことが明らかになっています。
-
過去 2 年間にデータ侵害を受けた組織は 49% に達し、1 年前の 39% から増加しました。
-
回答者の 79% がランサムウェア攻撃を受けました。35% は 1 回以上の攻撃によってデータやシステムへのアクセスを失いました。
-
セキュリティチームの 59% が修復に多大な時間とリソースを費やしており、1 年前の 42% から増加しました。
-
計画外のダウンタイムからの復旧には平均 14 時間を要し、1 時間あたり推定 20 万米ドルのコストが発生しました。
クラウドベースのアーキテクチャへのシフトは、新たなセキュリティ上の課題をもたらします。一度の誤操作により、アプリケーションがインターネットに公開されたり、キーが漏洩したりする可能性があります。セキュリティとコンプライアンスは、クラウドジャーニーに不可欠です。
クラウド情報資産を保護するための準備
セキュリティは継続的なプロセスです。セキュリティ態勢は、継続的に構築・改善していく必要があります。
-
統合された保護ポリシー、ツール、コントロールを備えた包括的なセキュリティ戦略を策定する必要があります。
-
DevOps にセキュリティを組み込む必要があります。
-
システムを保護するための自動化されたセキュリティ防御システムを構築する必要があります。
-
クラウドセキュリティのコンプライアンス基準に従う必要があります。
また、次の対策も必要です。
-
すべての情報資産を特定し、分類する必要があります。
-
保護する資産データを定義する必要があります。
-
誰がどのような目的で資産データにアクセスできるかを定義する必要があります。
クラウド情報資産の保護
クラウドセキュリティは、ポリシー、コントロール、テクノロジーを使用して、外部および内部の脅威からデータ、インフラストラクチャ、アプリケーションを保護します。コンプライアンスを確保するため、クラウドベースのアプリケーションは最初からセキュリティを念頭に置いて開発する必要があります。
クラウド情報資産を保護するには、次のベストプラクティスを使用してください。
|
項目 |
ベストプラクティス |
説明 |
|
アカウントセキュリティ |
|
|
|
アプリケーションリソース管理 |
|
|
|
情報およびデータセキュリティ |
|
|
|
ネットワーク環境のセキュリティ |
|
|
|
アプリケーションセキュリティ |
|
|
|
ゲスト OS アプリケーションセキュリティ |
|
Alibaba Cloud アカウントの保護
アカウントでの MFA の有効化
Alibaba Cloud アカウントで多要素認証 (MFA) を有効にしてください。 MFA では、ユーザー名とパスワードに加えて、MFA デバイスによって動的に生成されるセキュリティコードが必要になります。
最小権限ポリシーを持つ RAM ユーザーの使用
最小権限の原則に基づいて、RAM ユーザーに ECS リソースへのアクセス権限を付与してください。 アカウント情報を第三者と共有したり、不要な権限を付与したりしないでください。 RAM ユーザー (または RAM ユーザーグループ) を作成し、特定の権限ポリシーをアタッチして、きめ細かいアクセス制御を実現してください。 詳細については、「RAM ユーザー」をご参照ください。
-
RAM ユーザー
従業員、システム、アプリケーションなど、異なるエンティティが複数の ECS インスタンスにアクセスする必要がある場合は、セキュリティリスクを防ぐために、必要な権限のみを持つ RAM ユーザーを作成してください。
-
RAM ユーザーグループ
-
異なる権限ポリシーを持つ複数の RAM ユーザーグループを作成してください。 たとえば、ネットワークセキュリティを強化するには、企業ネットワーク外の IP アドレスから特定の ECS リソースへのアクセスを拒否し、そのポリシーを RAM ユーザーグループに割り当てます。
-
職責ごとに権限を管理するための RAM ユーザーグループを作成してください。 たとえば、開発者がシステム管理者になった場合、そのアカウントを開発者グループからシステム管理者グループに移動します。
-
-
RAM ユーザーグループのポリシー
-
システム管理者:ECS リソースを作成および管理する権限が必要です。 インスタンス、イメージ、スナップショット、およびセキュリティグループに対するすべての操作を許可するポリシーをアタッチしてください。
-
開発者:インスタンスを使用する権限のみが必要です。 DescribeInstances、StartInstances、StopInstances、RunInstances、および DeleteInstance の呼び出しを許可するポリシーをアタッチしてください。
-
AccessKey ペアの代わりにインスタンス RAM ロールによる API オペレーションの呼び出し
ECS インスタンスにデプロイされたアプリケーションは、通常、AccessKey ペアを使用して他の Alibaba Cloud API にアクセスします。 ただし、インスタンスに AccessKey ペアを保存すると、漏洩やメンテナンスの困難さなどのセキュリティリスクが生じます。 インスタンス RAM ロールは、AccessKey ペアを公開することなく RAM を使用してきめ細かい権限制御を行うことで、これらのリスクに対処します。
インスタンス RAM ロールを ECS インスタンスにアタッチし、Security Token Service (STS) の一時的な認証情報を使用して他の Alibaba Cloud API にアクセスしてください。 ロールをアタッチした後は、インスタンスメタデータにはセキュリティ強化された方法でアクセスしてください。 STS の一時的な認証情報は定期的に更新されます。 詳細については、「インスタンス RAM ロール」をご参照ください。
AccessKey ペアの漏洩防止
AccessKey ペアは API 認証情報であり、安全に保管する必要があります。 GitHub などの外部チャネルに公開しないでください。 AccessKey ペアが漏洩すると、リソースが危険にさらされます。
AccessKey ペアに関するセキュリティの提案:
-
AccessKey ペアをコードに埋め込まないでください。
-
AccessKey ペアを定期的に変更してください。
-
不要な AccessKey ペアを定期的に無効化してください。
-
最小権限の原則に基づいて RAM ユーザーを使用してください。
-
ログ監査を有効にし、保管と監査のためにログを OSS および Simple Log Service (SLS) に配信してください。
-
特定のパブリック IP アドレスから Alibaba Cloud API へのアクセスを制御するために、
acs:SourceIpを設定してください。 -
acs:SecureTransportを true に設定してください。これは、機能とリソースが HTTPS 経由でアクセスされることを示します。
アカウントとパスワードの管理に関するセキュリティの提案
|
カテゴリ |
ポリシーの説明 |
|
Alibaba Cloud アカウント |
|
|
キーと認証情報 |
|
|
パスワード |
|
|
KMS 内の機密データ |
機密データをディスクにプレーンテキストで保存すると、漏洩のリスクがあります。 KMS をアクティブ化すると、独自の暗号化インフラストラクチャを維持することなく、クラウドサービスでデータ暗号化を有効にできます。 たとえば、ECS インスタンスでディスク暗号化とトラステッドブートを有効にしてください。 |
情報資産の一括管理
設定ミスによって資産が保護されない事態を防ぐため、クラウドリソースを一括で管理・監査します。インスタンスとセキュリティグループには統一されたデプロイメントと命名規則を使用し、非準拠リソースを定期的にチェックします。一括管理にはタグを、O&M の自動化には Cloud Assistant を、コンプライアンス監査には Cloud Config を使用します。
タグを使用したリソースの一括管理
-
タグを使用して、クラウドリソースを一括で識別、分類、検索します。セキュリティインシデントが発生した際、タグを使用することで影響範囲と重大度を迅速に特定できます。
-
特定のタグが付いたセキュリティグループなどのリソースに対し、セキュリティポリシーを一括で構成します。
詳細については、「タグ」をご参照ください。
Cloud Assistant を使用した O&M の自動化
従来の O&M は SSH に依存しており、キーとオープンポートが必要です。これらは管理が不適切な場合、セキュリティリスクとなります。Cloud Assistant は ECS のネイティブ O&M ツールであり、パスワード、ログイン、ジャンプサーバーなしで、バッチスクリプトの実行とファイルのディストリビューションができます。Cloud Assistant は、インタラクティブ O&M のためのセッション管理を提供し、次のセキュリティメカニズムを使用します。
-
アクセス制御: Cloud Assistant は、RAM ポリシーを使用して、インスタンス、リソースグループ、タグ、またはソース IP アドレスに基づいてユーザーのアクセスを制御します。
-
エンドツーエンドの信頼性: すべてのリソースは HTTPS 経由で通信し、データは転送中に暗号化されます。インスタンスは、ポートを開くことなくインバウンドアクセスには内部セキュリティメカニズムを使用し、パブリック IP アドレスを公開することなく内部ネットワーク経由でアウトバウンド通信を行います。
-
安全なコンテンツ: コマンドは暗号化され、署名で検証されるため、送信中の改ざんを防止します。
-
ログ監査: API オペレーションを呼び出して、Cloud Assistant によって送信されたコマンドとファイルを監査できます。これには、実行時刻、結果、コンテンツ、ユーザー名が含まれます。タスクログを OSS または SLS に配信して、アーカイブまたは分析を行うことができます。
詳細については、「Cloud Assistant の概要」をご参照ください。
Cloud Config によるリソースのコンプライアンス監査
Cloud Config は、クラウドリソースのコンプライアンスを評価・監視します。複数のリージョンにわたるリソースを集約し、設定変更をタイムラインに記録し、準拠していない設定に対してアラートを生成します。詳細については、「Cloud Config とは」をご参照ください。
インスタンス作成時のセキュリティ設定
セキュリティ強化インスタンスでの高セキュリティビジネスのホスティング
高いセキュリティと強化された信頼性が必要なビジネスの場合、トラステッドブートとプライベートデータ保護をサポートするセキュリティ強化インスタンスでワークロードを実行します。
-
Intel® Software Guard Extensions (SGX) に基づく暗号化メモリと機密コンピューティングをサポートし、マルウェア攻撃から重要なコードとデータを保護します。
-
Trusted Cryptography Module (TCM) または Trusted Platform Module (TPM) チップに基づくトラステッドブートを実装します。トラステッドブート中、基盤サーバーから ECS インスタンスまでのブートチェーン内のすべてのモジュールが測定および検証されます。
セキュアなイメージの使用
-
パブリックイメージを使用し、イメージのセキュリティ強化を有効にします。
-
Alibaba Cloud が提供するパブリックイメージを使用します。
-
パブリックイメージに対して無料のセキュリティ強化を有効にし、Web シェル検出、セキュリティ設定チェック、異常なログインアラートなどの機能を利用できます。

-
-
暗号化されたカスタムイメージを使用します。
AES-256 アルゴリズムを使用してカスタムイメージを暗号化し、データ漏洩を防止します。暗号化されたディスクのスナップショットから、暗号化されたカスタムイメージを作成します。また、コピーと暗号化機能を使用して、イメージコピーを暗号化することもできます。共有された暗号化イメージの場合、キー漏洩を防ぐために個別の BYOK キーを作成してください。詳細については、「カスタムイメージのコピー」をご参照ください。
KMS を使用したディスクデータの暗号化
ビジネスやアプリケーションを変更することなく、ディスクを暗号化して保存データを保護します。暗号化されたディスクから作成されたスナップショット、およびそれらのスナップショットから作成されたディスクも暗号化されます。システムディスクとデータディスクの両方を暗号化できます。詳細については、「ディスク暗号化」をご参照ください。
災害復旧のためのスナップショットの使用
-
スナップショットを使用したデータバックアップ
スナップショットは災害復旧の基盤であり、システム障害、誤操作、セキュリティ問題によるデータ損失を軽減するのに役立ちます。ニーズに基づいてスナップショットを作成してください。詳細については、「手動でのスナップショットの作成」をご参照ください。
耐障害性を向上させ、データ損失を最小限に抑えるために、自動スナップショットを毎日作成し、少なくとも 7 日間保持してください。

-
暗号化されたスナップショットの使用
ECS は、データ漏洩を防ぐために、スナップショットに AES-256 暗号化を使用します。暗号化されたディスクから作成されたスナップショットは、自動的に暗号化されます。
セキュリティ強化モードでのインスタンスメタデータへのアクセス
ECS インスタンスメタデータには、Alibaba Cloud 内のインスタンス情報が含まれています。実行中のインスタンスのメタデータを表示および使用して、インスタンスを設定または管理できます。詳細については、「インスタンスメタデータ」をご参照ください。
セキュリティ強化モードでインスタンスメタデータにアクセスします。このモードでは、インスタンスとメタデータサーバー間でセッションが確立され、サーバーはトークンを使用してユーザーの ID を認証します。トークンの有効期限が切れると、セッションは閉じられます。トークンの制限事項:
-
各トークンは、単一の ECS インスタンスに対してのみ使用できます。別のインスタンスのトークンを使用したアクセスは拒否されます。
-
各トークンの有効期間は 1 秒から 21,600 秒 (6 時間) です。トークンは有効期限が切れるまで再利用できます。
-
プロキシアクセスはサポートされていません。X-Forwarded-For ヘッダーを含むリクエストは拒否されます。
-
各インスタンスに対して無制限の数のトークンを発行できます。
ネットワークリソースの分離と保護
Virtual Private Cloud (VPC) は、物理ネットワークをデータリンク層で分離されたセキュアな仮想ネットワークに抽象化します。VPC は完全に分離されており、Elastic IP アドレスまたは NAT IP アドレスを介してのみ接続します。各 VPC 内で、IP アドレス範囲、CIDR ブロック、ルートテーブル、ゲートウェイを構成できます。VPN Gateway、Express Connect、または Smart Access Gateway (SAG) を使用して、オンプレミスデータセンターを VPC に接続します。Cloud Enterprise Network (CEN) を使用して、世界中のネットワークを接続します。
ネットワークはサイバー攻撃に対して脆弱です。Alibaba Cloud では、セキュリティグループ、ネットワーク ACL、ルーティングポリシー、または Express Connect 回線を使用して、VPC へのアクセスを制御します。また、外部の脅威から保護するために、Cloud Firewall、WAF、Anti-DDoS を構成します。
ネットワークリソース分離に関するセキュリティ推奨事項
ネットワーク分離に関するセキュリティ推奨事項:
-
セキュリティグループ、ネットワーク ACL、トラフィックログを一元的に管理するために、ネットワーク管理者アカウントを作成します。
-
ネットワーク ACL を使用して、プライベートデータへのアクセスを制限します。
-
大きなサブネットを事前に構成することで、ネットワークリソースを分離し、サブネットの重複を防ぎます。
-
セキュリティグループは、リソースではなくアクセスポイントに基づいて構成します。
安全なネットワーク環境の構築
-
セキュリティグループを適切に構成してネットワークを分離し、攻撃対象領域を削減します。
セキュリティグループは、ECS インスタンスへの、およびインスタンスからのネットワークアクセスを制御します。ポートと IP アドレスでトラフィックをフィルタリングするルールを構成して、攻撃対象領域を削減します。
たとえば、ポート 22 は Linux インスタンスのデフォルトの SSH ポートです。これを開いたままにしておくと、セキュリティリスクが生じます。特定の IP アドレスのみがポート 22 にアクセスできるようにルールを構成するか、VPN を使用してログインデータを暗号化します。
推奨事項
説明
参考資料
最小権限の原則
セキュリティグループはホワイトリストとして機能します。必要なポートのみを開き、必要なパブリック IP アドレスのみを割り当てます。トラブルシューティングには VPN またはバスティオンホストを使用します。不適切な構成により、ポートや IP アドレスがインターネットに公開される可能性があります。
-
セキュリティグループでは、インターネットと内部ネットワークの両方のトラフィックに対して、ビジネスに必要なポートのみを開放します。
-
リスクの高いサービスポートについては、特定の IP アドレスからのアクセスのみを許可します。
-
HTTP サービス管理バックエンドについては、特定の IP アドレスからのアクセスのみを許可し、ドメイン名に対して WAF を有効にします。
セキュリティグループルールで承認オブジェクトとして 0.0.0.0/0 を設定しない
すべてのインバウンドアクセスを許可することは、よくある間違いです。
0.0.0.0/0はすべての IP アドレスを意味します。この承認オブジェクトを持つルールは、すべてのポートを外部アクセスに開放します。デフォルトですべてのポートへのアクセスを拒否し、その後、80、8080、443 などの必要なポートのみを許可します。不要なインバウンドセキュリティグループルールの無効化
ルールに
0.0.0.0/0が含まれている場合は、アプリケーションが公開しているポートを確認してください。外部サービスを提供すべきでないポートについては、拒否ルールを追加します。たとえば、MySQL がポート 3306 で実行されている場合、最も低い優先度 (100) で拒否ルールを追加します。承認オブジェクトとしてのセキュリティグループの参照
最小権限の原則に基づいてルールを追加します。異なるアプリケーション層では、適切なインバウンドルールとアウトバウンドルールを持つ異なるセキュリティグループを使用します。
-
セキュリティグループ間で相互アクセスができない分散アプリケーションでは、IP アドレスや CIDR ブロックの代わりにセキュリティグループを承認オブジェクトとして参照するルールを追加して、相互アクセスを許可します。
-
たとえば、Web 層用に sg-web を、データベース層用に sg-database を作成します。sg-database で、sg-web を参照してポート 3306 経由のアクセスを許可するルールを追加します。
セキュリティグループへの適切な名前とタグの設定
明確な名前と説明は、セキュリティグループの識別に役立ちます。
ECS コンソールまたは API 経由でセキュリティグループにタグを追加すると、検索と管理が容易になります。
相互アクセスが必要な ECS インスタンスを同一セキュリティグループに追加
各 ECS インスタンスは、最大 5 つのセキュリティグループに所属できます。同じセキュリティグループ内のインスタンスは、内部ネットワーク経由で通信します。複数のセキュリティグループがある場合は、新しいグループを作成し、内部ネットワーク通信が必要なインスタンスを追加します。
すべてのインスタンスを同じセキュリティグループに追加しないでください。分散アプリケーションでは、各インスタンスが異なる役割を果たし、特定のインバウンドルールとアウトバウンドルールが必要です。
セキュリティグループ内のインスタンスの分離
セキュリティグループは、ステートフルパケットインスペクション (SPI) を備えた仮想ファイアウォールとして機能します。同じセキュリティグループ内のインスタンスは、同じリージョンとセキュリティ要件を共有します。Alibaba Cloud では、内部アクセス制御ポリシーを細かく調整することで、セキュリティグループ内のインスタンスを分離します。
セキュリティグループの 5 タプルルールの使用
セキュリティグループは、ECS インスタンスへの、および ECS インスタンスからのネットワークアクセスを制御し、論理的なセキュリティ分離を提供します。5 タプルルールは、送信元 IP、送信元ポート、宛先 IP、宛先ポート、トランスポート層プロトコルに基づいた精密なアクセス制御を可能にします。
インターネット向けインスタンスと内部ネットワーク向けインスタンスを異なるセキュリティグループに分離
ECS インスタンス上のアプリケーションは、インスタンスがポート (80 や 443 など) を公開したり、ポートフォワーディングルール (NAT ポートフォワーディングや EIP ベースのフォワーディングなど) を使用したりすると、インターネットからアクセス可能になる場合があります。
-
最も厳格なセキュリティグループルールを適用します。デフォルトですべてのプロトコルとポートを拒否し、その後、80 や 443 などの外部サービスに必要なポートのみを許可します。
-
同じセキュリティグループ内のインターネット向けインスタンスには、明確な役割が必要です。MySQL や Redis などのバックエンドサービスは、インターネットアクセスのないインスタンスにデプロイし、セキュリティグループルールを使用して特定のセキュリティグループからのアクセスを許可します。
-
-
セキュリティドメインを構成して、組織内の異なるセキュリティレベルのサービスを分離します。
異なるセキュリティレベルのサーバーを個別にホストするために、VPC を使用してプライベートネットワークを構築します。VPC を作成し、CIDR ブロックを割り当て、ルートテーブルとゲートウェイを構成し、この論理的に分離された VPC に重要なデータを保存します。日常の O&M には EIP またはジャンプサーバーを使用します。詳細については、「VPC の作成と管理」をご参照ください。
-
ジャンプサーバーまたはバスティオンホストを使用して、内部および外部からの侵入を防ぎます。
ジャンプサーバーには広範な権限があります。代わりにバスティオンホストを使用して、すべての O&M 操作を記録および監査し、異常を検出し、アクションを特定の担当者に関連付けます。
ジャンプサーバーを VPC 内の専用 vSwitch に割り当て、対応する EIP または NAT ポートフォワーディングテーブルを関連付けます。専用のセキュリティグループ (SG_BRIDGE) を作成し、必要なポート (Linux の場合は TCP 22、Windows の場合は RDP 3389) のみを開きます。組織の特定のパブリック IP アドレスからのインバウンドアクセスを制限します。ジャンプサーバーが別のセキュリティグループ (SG_CURRENT) にアクセスできるようにするには、特定のプロトコルとポート経由で SG_BRIDGE からのアクセスを許可するルールを追加します。SSH の場合は、パスワードではなくキーペアを使用します。詳細については、「SSH キーペアの概要」をご参照ください。
-
パブリック IP アドレスを適切に割り当てて、インターネットに公開される攻撃対象領域を削減します。
適切なパブリック IP の割り当ては、攻撃対象領域を削減します。VPC インスタンスの場合、インターネットアクセスが必要なインスタンスを、監査を容易にするため、いくつかの指定された vSwitch に接続します。
-
インターネットサービスを提供しないインスタンスには、パブリック IP アドレスを割り当てないでください。複数のインターネット向けインスタンスの場合は、SLB を使用してトラフィックを分散します。詳細については、「SLB の概要」をご参照ください。
-
アウトバウンドインターネットアクセスが必要だがパブリック IP を持たないインスタンスの場合は、NAT ゲートウェイを使用します。特定の CIDR ブロックまたはサブネット用に SNAT エントリを構成して、サービスがインターネットに公開されるのを防ぎます。詳細については、「NAT Gateway とは」をご参照ください。
-
セキュリティサービスによるセキュリティ防御システムの構築
Anti-DDoS Origin Basic (無料)、Anti-DDoS Pro、Anti-DDoS Premium による DDoS 攻撃の緩和
DDoS 攻撃は、侵害された複数のシステムから、ターゲットに不正なトラフィックを殺到させます。Alibaba Cloud の Anti-DDoS サービスは、SYN、UDP、ACK、ICMP、DNS、HTTP フラッド攻撃を含む、レイヤー 3 からレイヤー 7 までの攻撃から防御します。Anti-DDoS Origin Basic は、最大 5 Gbit/s の DDoS 緩和を無料で提供します。
Anti-DDoS Origin Basic は ECS インスタンスでデフォルトで有効になっているため、スクラビングデバイスを購入することなく、DDoS 攻撃中も通常のアクセスを維持できます。インスタンスを作成した後、トラフィックスクラビングのしきい値を設定してください。
Security Center Basic (無料) による、システム脆弱性悪用からの保護
Security Center は、リアルタイムで脅威を特定、分析、警告する一元的なセキュリティ管理システムです。機能には、ランサムウェア対策、ウイルス対策、Web 改ざん防止、コンプライアンスチェックが含まれます。
Security Center Basic はデフォルトで利用でき、異常なログイン、脆弱性、クラウドサービス設定のリスクをスキャンします。脅威検出、脆弱性の修正、ウイルス駆除などの高度な機能については、Security Center コンソールから有料版を購入してください。詳細については、「Security Center Basic」をご参照ください。
WAF によるシステム脆弱性悪用からの保護
WAF は、SQL インジェクション、XSS 攻撃、Web シェル、トロイの木馬、不正アクセスを含む、一般的な OWASP 攻撃と HTTP フラッド攻撃から Web アプリケーションを保護します。WAF は悪意のあるトラフィックをブロックすることでデータ漏洩を防止し、Web サイトのセキュリティと可用性を確保します。詳細については、「クイックスタート」をご参照ください。
WAF のメリット:
-
WAF は、ソフトウェアやハードウェアのインストール、コード変更を行うことなく、さまざまな Web 攻撃に対処し、セキュリティと可用性を確保します。WAF は、金融、E コマース、O2O、ゲーム、公共サービスなどの分野における特定の Web サイトに専用の保護を提供します。
-
WAF がない場合、Web 侵入、データ漏洩、HTTP フラッド攻撃、トロイの木馬に対して脆弱になる可能性があります。
詳細については、「WAF の使用開始」をご参照ください。
インスタンスのゲスト OS におけるアプリケーションの保護
ECS インスタンスへの安全なログインを確保するためのセキュリティ設定
既定では、非 root アカウントで ECS インスタンスにログインできます。su または sudo を使用して管理者権限を付与します。既定では、root アカウントは PEM キーファイルでログインできません。Linux インスタンスでは、RSA キーペアによるログインのみを構成します。Windows インスタンスでは、8 文字以上で特殊文字を含む複雑なパスワードを使用してください。
Linux インスタンス:
-
既定では、Linux インスタンスへのログインに非 root アカウントが使用されます。
root としてログインすると最上位の権限を取得できますが、インスタンスが攻撃された場合にデータセキュリティ上のリスクが生じます。通常の ecs-user アカウントでのログインをサポートする Anolis OS 8.4 または Ubuntu 20.04 のパブリックイメージを使用してください。

-
一時的な SSH キーペアを使用して Linux インスタンスにログインします。
config_ecs_instance_connect プラグインを使用して、特定のインスタンスに SSH 公開キーを送信します。キーは 60 秒間保存され、その間にパスワードなしで接続できます。「一時的なキーペアで接続する」をご参照ください。
SSH キーペアは、公開鍵と秘密鍵で構成され、既定では RSA-2048 で暗号化されます。パスワード認証と比較した場合のキーペア認証のメリットは以下の通りです:
-
ログインのセキュリティと信頼性が高いです。
-
強度が通常のパスワードを大きく上回り、ブルートフォース攻撃を防止できます。
-
秘密鍵は公開鍵から推測できません。
-
SSH キーペアは使いやすいです。
-
Linux インスタンスに公開鍵を構成し、秘密鍵を使用してパスワードなしで SSH コマンドを実行します。
-
キーペアを使用して複数の Linux インスタンスをバッチ管理します。インスタンス作成時にキーペアを指定するか、作成後にバインドし、秘密鍵を使用して接続します。
-
sshd_configファイルを変更して、パスワード認証によるログインを無効にし、RSA キーペアによるログインのみをサポートするように設定してください。 -
Windows インスタンス:
-
脆弱なパスワードは脆弱性の主な原因です。パスワードは 8 文字以上で、大文字、小文字、数字、特殊文字などの文字種を組み合わせて複雑なパスワードを使用してください。パスワードは定期的に変更してください。
-
ECS インスタンスに強力なパスワードを設定してください。パスワードの長さは 8~30 文字で、次の文字種のうち少なくとも 3 つを含める必要があります:大文字、小文字、数字、特殊文字。特殊文字には、( ) ~ ! @ # $ % ^ & * _ - + = | { } [ ] : ; ' < > , . ? / が含まれます。Windows インスタンスでは、パスワードをスラッシュ (/) で開始できません。
転送中のデータの暗号化
セキュリティグループまたはファイアウォールを構成し、データを暗号化するポート間の通信のみを許可するように設定してください。TLS 1.2 以降などの暗号化プロトコルを使用して、クライアントと ECS インスタンス間で転送中の機密データを暗号化してください。
ログの異常の監視と監査
FireEye による M-Trends 2018 レポートでは、全世界の滞留時間 (攻撃から検知まで) の中央値は 101 日であり、アジア太平洋地域では 498 日であると報告されています。滞留時間を短縮するには、信頼性の高いログデータと監査サービスが不可欠です。
CloudMonitor、ActionTrail、Log Audit Service、VPC フローログ、アプリケーションログを使用して、異常なリソースアクセスや権限アクセスに対する監視およびアラートシステムを構築してください。
-
CloudMonitor を使用して、リソース使用量のアラートしきい値を設定し、DDoS 攻撃を防ぎます。詳細については、「CloudMonitor とは」をご参照ください。
-
ActionTrail を使用して、不正アクセス、不適切なセキュリティ設定、および高リスク操作を検出します。 ActionTrail は、コンプライアンス監査と脅威検出もサポートしています。 MFA を使用して ActionTrail へのアクセスを制御します。 ActionTrail をご参照ください。
-
VPC で フローログ 機能を有効にして、インバウンドおよびアウトバウンドの ENI トラフィックを記録してください。
-
Log Audit Service を使用すると、DevOps、運用、セキュリティ、監査などのシナリオで、データを収集、分析、視覚化し、アラートを生成できます。 詳細については、「Log Audit Service の概要」をご参照ください。
-
アプリケーションのイベントログと API 呼び出しログを追跡してください。
-
すべてのログを定期的に SLS または OSS に同期し、アクセス権限を構成してください。
-
トラブルシューティングを容易にするために、インスタンス ID、リージョン、ゾーン、環境 (テストまたは本番) をログに追加してください。