ご利用の ECS インスタンス上の高リスク脆弱性を速やかにパッチ適用し、権限昇格やリモートコード実行などのエクスプロイトを防止してください。
ベンダーがパッチをリリースした後、悪意のあるアクターがそのパッチの詳細から迅速にエクスプロイトを開発します。パッチは利用可能になった時点で即座に適用してください。
前提条件
以下の設定が完了していることを確認してください。
-
ECS インスタンスでホストセキュリティ保護を有効化 し、Security Center 無料版をアクティブ化していること
-
(脆弱性修正のため)Security Center(有料版)で 脆弱性修正機能を有効化 していること
脆弱性の監視
ホストセキュリティ保護を有効化すると、Security Center はご利用のサーバーおよびアプリケーション上で既知の脆弱性を継続的に検出します。デフォルトでは、スキャンは 2 日ごとに実行されます。
アラート通知の設定
脆弱性が検出された際に通知を受け取るよう、Security Center の 通知設定 を構成してください。
セキュリティ告知の確認
最新の脆弱性の詳細および推奨パッチについては、定期的に Alibaba Cloud Security 告知 をご確認ください。
スキャン結果の表示
-
Security Center コンソール にログインします。
-
左側のナビゲーションウィンドウで、 を選択します。対象アセットのリージョンを選択してください。
-
脆弱性 ページで、手動スキャンを実行するか、自動スキャンを設定します。
脆弱性の修正
脆弱性修正は、Security Center の有料機能です。脆弱性修正機能を有効化 した後、検出された脆弱性を修正 します。
パッチ適用前にスナップショットを作成するには、スナップショット保持期間 を設定してください。これにより、パッチ適用後に問題が発生した場合にロールバックできます。
コンソール
-
Security Center コンソール にログインします。
-
左側のナビゲーションウィンドウで、 を選択します。高優先度脆弱性 (CVE) の下の数値をクリックし、ステータスが 未修正 かつ重大度が 高 の脆弱性を見つけます。
-
操作 列で 修正 をクリックします。スナップショット保持期間 を設定し、今すぐ修正 > OK をクリックします。
-
修正タスクが実行されると、脆弱性のステータスは 修正中 に変更されます。
修正の検証
修正が完了したら、検証 をクリックするか、次のスキャンサイクルを待ってください。ステータスが 処理完了 に変更されるか、脆弱性が表示されなくなることを確認します。修正に失敗した場合は、エラーの詳細に基づいてトラブルシューティングを行ってください。
API
-
検出された脆弱性を処理するには、ModifyOperateVul を呼び出します。
-
Linux ソフトウェアの脆弱性を修正するには、OperateVuls を呼び出します。
脆弱性管理に関するすべての API オペレーションについては、「脆弱性修正」をご参照ください。
コンプライアンス状況の確認
CSPM を使用して、パッチが適用されていない高リスク脆弱性を持つ ECS インスタンスを特定します。
-
Security Center コンソール にログインします。
-
左側のナビゲーションウィンドウで、 を選択します。クラウドサービス設定リスク タブをクリックし、パッチが適用されていない高リスクシステム脆弱性を持つコンピューター を見つけ、操作 列の スキャン をクリックします。
-
ステータスが Not Passed の場合、パッチが適用されていない高リスク脆弱性が存在します。詳細 をクリックして、影響を受けるインスタンスを表示します。
詳細については、「Cloud Security Posture Management の概要」をご参照ください。