ホストのセキュリティ保護を有効にする - Elastic Compute Service

インスタンスを作成する際に無料のセキュリティ強化を選択することで、ホストのセキュリティ保護を有効にできます。

セキュリティリスク

新しい ECS インスタンスは、クリーンなオペレーティングシステムであっても、インターネットに公開されたベアメタルのようなものです。パッチが適用されていないシステムの脆弱性、弱いパスワード、または設定ミスを悪用する絶え間ない自動スキャンや攻撃に直面します。これらの攻撃により、マイニングウイルスやランサムウェアなどのマルウェアがインストールされたり、データが盗まれたり、インスタンスがボットネットの一部になったりする可能性があります。

パブリックイメージから ECS インスタンスを作成すると、Alibaba Cloud はデフォルトで Security Center の無料版を提供します。このサービスを有効にすると、基本的なセキュリティ強化機能を利用できます。これらの機能には、脆弱性スキャン (自動修復は含まれません)、緊急脆弱性スキャン、AccessKey ペアの漏洩検出、コンプライアンスチェック、異常なログインの検出が含まれます。

ベストプラクティス

無料のセキュリティ強化を有効にする

コンソール

インスタンス購入ページでインスタンスを作成する際に、[無料のセキュリティ強化] を選択します。これはパブリックイメージではデフォルトで有効になっています。

API

RunInstances または CreateInstance API 操作を呼び出してインスタンスを作成する際に、SecurityEnhancementStrategy パラメーターを Active に設定してセキュリティ強化を有効にします。この機能はパブリックイメージでのみサポートされています。

Security Center の購入

Security Center は、さまざまな保護ニーズに対応するために、ホストとコンテナーのセキュリティ向けにいくつかの有料エディションを提供しています。これらのエディションには、ウイルス対策エディション、プレミアムエディション、Enterprise Edition、および Ultimate Edition が含まれます。Security Center は、ランサムウェア対策、コンテナイメージセキュリティスキャン、クラウドハニーポット、Web 改ざん防止、アプリケーション保護、脅威分析と対応など、特定のシナリオ向けの機能も提供しています。Security Center の購入方法を学習し、要件を満たすホストおよびコンテナーのエディションとセキュリティ機能を購入できます。

コンプライアンス機能

チェック: インスタンスで無料のセキュリティ強化が有効になっていることを確認する

方法 1: ホストアセットビューで確認する

Security Center コンソールに移動します。
左側のナビゲーションウィンドウで、[アセットセンター] > [ホストアセット] を選択します。
このページでは、すべての ECS インスタンスのクライアントステータスをフィルターして表示できます。
- : クライアントがオンライン (正常) であることを示します。
- : クライアントがインストールされていないか、オフラインであることを示します。オフラインクライアントはインストールされていますが、Security Center と通信できません。これは、インスタンスが停止している、クライアントプロセスが異常である、またはネットワークに問題があることが原因である可能性があります。

方法 2: クラウドセキュリティポスチャ管理スキャンを使用して確認する

Security Center コンソールに移動します。
左側のナビゲーションウィンドウで、[リスクガバナンス] > [クラウドセキュリティポスチャ管理] を選択します。[クラウド製品設定リスク] タブをクリックします。Security Center クライアントステータスチェック という名前のチェック項目を見つけ、[アクション] 列の [スキャン] をクリックします。
ステータスが失敗した場合、一部のインスタンスで無料のセキュリティ強化が有効になっていないことを意味します。[詳細] をクリックして詳細情報を表示します。

インターセプト: 無料のセキュリティ強化なしでのインスタンス作成をブロックする

組織またはアカウントレベルで RAM ポリシーを使用して、無料のセキュリティ強化が有効になっていないインスタンスの作成をブロックできます。

エンタープライズユーザーの場合:
1. Alibaba Cloud アカウントでリソースディレクトリコンソールにログインします。左側のナビゲーションウィンドウで、[コントロールポリシー] をクリックします。カスタムポリシーを作成し、次の JSON コンテンツを貼り付けます。
  このポリシーは、セキュリティ強化が有効になっていない場合、インスタンスの作成を拒否します。
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance"
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*"
      ],
      "Condition": {
        "StringEquals": {
          "ecs:SecurityEnhancementStrategy": "Deactive"
        }
      }
    }
  ]
}
```
2. リソースディレクトリで、ポリシーを適切なノードにアタッチします。ポリシーは、そのノード配下のすべてのアカウントの操作をブロックします。
非エンタープライズユーザーの場合:
1. Alibaba Cloud アカウントで Resource Access Management (RAM) コンソールにログインします。左側のナビゲーションウィンドウで、[ポリシー] をクリックします。前のセクションと同じ内容のカスタムポリシーを作成します。
2. RAM ユーザー、RAM ユーザーグループ、または RAM ロールにポリシーをアタッチします。

修復: セキュリティ強化が有効になっていないインスタンスを修正する

シナリオ 1: インスタンスのネットワーク接続が安定しており、Cloud Assistant エージェントがインストールされている場合。

Security Center コンソールにログインします。左側のナビゲーションウィンドウで、[システム設定] > [機能設定] を選択します。
[クライアント] タブをクリックし、次に [クライアント未インストール] サブタブをクリックします。これにより、Security Center エージェントがインストールされていないインスタンスのリストが表示されます。修正したいインスタンスを選択します。
リストの下にある [ワンクリックでインストール] ボタンをクリックします。システムは Cloud Assistant を使用して Security Center エージェントを自動的にダウンロードしてインストールします。
[アセットセンター] > [ホストアセット] に戻り、ターゲットインスタンスのクライアントステータスが オンライン に変更されたことを確認します。

シナリオ 2: インスタンスにネットワークの問題があるか、Cloud Assistant エージェントがインストールされていない場合。コンソールから Security Center エージェントを自動的にインストールできない場合は、インスタンスにログインしてインストールする必要があります。

Security Center コンソールにログインします。左側のナビゲーションウィンドウで、[システム設定] > [機能設定] を選択します。[クライアント] タブをクリックし、次に [インストールコマンド] サブタブをクリックします。
ECS インスタンスのオペレーティングシステム (CentOS、Ubuntu、Windows など) とネットワーク環境 (VPC 内部ネットワークまたはインターネット) に基づいて、対応するインストールコマンドをコピーします。
ECS インスタンスにログインし、前のステップでコピーしたインストールコマンドを実行します。
インストールが完了したら、[アセットセンター] > [ホストアセット] に戻り、ターゲットインスタンスのクライアントステータスが オンライン に変更されたことを確認します。