Alibaba Cloud はインフラストラクチャを保護し、お客様は OS パッチ、セキュリティグループ、データ暗号化などにより、Elastic Compute Service (ECS) インスタンスを保護します。
クラウドセキュリティの重要性
中国では、サイバーセキュリティ法やデータセキュリティ法を含む 200 件以上のネットワークおよびデータセキュリティに関する法令・規制が導入され、企業のデータセキュリティに対して厳格な要件が課されています。クラウドコンピューティングの成長に伴い、企業は クラウドへ移行する方法 から、クラウド上で事業を安全かつ継続的に運用する方法 へと重点を移しており、セキュリティとコンプライアンスが最優先事項になっています。
クラウドセキュリティでは、ポリシー、制御、テクノロジーを用いて、インフラストラクチャ、データ、アプリケーションを内外の脅威から保護します。クラウド上で安全なビジネスを構築することは、Alibaba Cloud とお客様の共同責任です。お客様は、クラウドビジネスにおけるリスクを理解し、運用負荷を軽減するとともに、セキュリティインシデントによる資産損失の可能性を最小化するために、セキュリティ制御を主体的に実装する必要があります。
ECS のセキュリティ責任共有モデル
ECS は、Alibaba Cloud が提供する IaaS です。セキュリティは Alibaba Cloud とお客様の共同責任であり、責任範囲は次のとおりです。
-
Alibaba Cloud は「クラウドの」セキュリティに責任を負います:Alibaba Cloud は、物理ハードウェア、ソフトウェアサービス、ネットワークデバイス、管理制御サービスなど、ECS を実行する基盤となるインフラストラクチャとサービスを保護します。
-
お客様は「クラウド内の」セキュリティに責任を負います:お客様は、OS のアップグレードとパッチの適用、アプリケーションとツールの保護、アクセス制御の設定により、ECS インスタンスを保護します。例として、セキュリティのベストプラクティスに基づくネットワークパラメーターの設定や、最小権限の原則に基づく権限の割り当てが挙げられます。
次の図は、ECS のセキュリティ責任共有モデルを示しています。
Alibaba Cloud の責任:クラウドの保護
Alibaba Cloud は、次の 4 つのレイヤーにわたり、下から上へとクラウドを保護します。
-
データセンターセキュリティ:Alibaba Cloud のデータセンターは、GB 50174 のクラス A 基準および TIA-942 の T3+ 基準を満たしています。
-
ディザスタリカバリ:データセンターは、火災・煙検知器、冗長構成の二重電源、ホットスタンバイモードの精密空調機を使用し、温度と湿度を一定に保ちます。
-
要員管理:サーバールーム、電力計測ゾーン、ストレージルームなどのエリアへのアクセスには、2 要素認証 (ID および指紋認証など) が必要です。特定のエリアでは、物理的な分離のためにケージを使用します。厳格なアカウント管理、ID 認証、認可管理、職務分掌、アクセス制御を実施します。
-
運用監査:セキュリティ監視システムは、データセンター内のすべてのエリアをカバーします。本番システムに対する運用作業には Bastion ホストが必要です。すべての操作記録は、集中ログプラットフォームに記録されます。
-
-
物理インフラストラクチャセキュリティ:物理インフラストラクチャは、物理サーバー、ネットワークデバイス、ストレージデバイスを対象とします。そのセキュリティはデータセンター自体に依存し、さらにパブリッククラウドモデル向けの追加対策を実施します。
-
データ消去:NIST SP 800-88 標準に従い、Alibaba Cloud はストレージメディアからデータを安全に消去します。お客様のクラウドサービスが終了すると、データ資産は速やかに削除され、ストレージメディアは複数回消去されます。
-
ストレージデバイスの資産管理:各ストレージコンポーネントには、正確な追跡のために一意のハードウェアデバイス識別子が割り当てられます。ストレージメディアは、確立された標準に従って安全に消去または物理的に破壊されない限り、データセンターまたはセキュアな管理エリアから持ち出すことはできません。
-
ネットワーク分離:本番ネットワークは非本番ネットワークから分離されています。ネットワーク ACL は、クラウドサービスネットワークが物理ネットワークへアクセスすることを防止します。Bastion ホストは本番ネットワークの境界にデプロイされます。運用エンジニアは、多要素認証 (ドメインアカウントのパスワードと動的パスワード) を使用する Bastion ホスト経由でのみ、本番ネットワークにアクセスできます。
-
-
仮想化システムセキュリティ:仮想化では、マルチテナントのリソース分離のために、コンピューティング、ストレージ、ネットワークの仮想化を使用します。Alibaba Cloud は、テナント分離、セキュリティ強化、エスケープ検出と修復、ホットパッチ適用、データ消去の 5 つのコンポーネントにより、ハイパーバイザーを保護します。
-
ホットパッチ適用:仮想化プラットフォームはホットパッチ適用をサポートし、システムの再起動なしでパッチを適用します。
-
データ消去:インスタンスの解放後、基盤となるストレージメディア上のデータは安全に消去されます。
-
テナント分離:ハードウェア仮想化により、異なるコンピュートノード上の VM をシステムレベルで分離します。テナントは、認可なしに他のテナントのリソースへアクセスできません。
-
コンピューティング分離:管理システムはお客様の VM から分離され、お客様の VM は相互に分離されます。
-
ネットワーク分離:各仮想ネットワークは、他のネットワークから分離されます。
-
ストレージ分離:コンピューティングとストレージの分離アーキテクチャにより、VM は割り当てられた物理ディスク領域にのみアクセスできます。
-
-
セキュリティ強化:ハイパーバイザーおよびホスト OS/カーネルを強化します。仮想化ソフトウェアは、エンドツーエンドのセキュリティを確保するために、信頼できる実行環境でコンパイルおよび実行されます。
-
エスケープ検出と修復:高度な VM 配置アルゴリズムにより、悪意のある VM が特定の物理マシンを標的にすることを防止します。VM は物理ホスト環境をプローブできません。異常な動作を検出し、脆弱性はホットパッチで修正されます。
-
-
クラウドサービスプラットフォームセキュリティ:クラウドプラットフォームは、メインアカウントおよび RAM ユーザーの管理、ログオン時の多要素認証、きめ細かいアクセス認可、プラットフォームサービスへのセキュアなアクセスなど、アカウント管理とサービスアクセスを提供します。
お客様の責任:ECS 内のリソースの保護
お客様は、OS パッチの適用、不正アクセスを防止するための適切なセキュリティグループルールの設定、データ暗号化の使用により、ECS インスタンスを保護します。
Alibaba Cloud は、次のセキュリティ管理および設定ツールを提供します。