Elastic Compute Service (ECS) は、アクセス制御、OS 強化、コンプライアンス監査を通じてオペレーティングシステムを保護します。
インスタンスへのセキュアなアクセス
ECS は、キーペア認証、セッションマネージャーによるパスワードレスログイン、およびポート経由の 0.0.0.0/0 との間のアクセスを制限するセキュリティグループルールをサポートしています。
キーペアを使用したインスタンスログイン
キーペアは公開鍵と秘密鍵で構成され、パスワードの代わりに ECS インスタンスの認証に使用されます。Alibaba Cloud は、RSA 2048 ビット暗号化でデフォルトのキーペアを生成します。利点は以下の通りです:
-
ブルートフォース攻撃を防ぎます。
-
一度設定すれば、以降はパスワード入力が不要です。
詳細については、「Workbench を使用した Linux インスタンスへのログイン」および「OpenSSH または Xshell を使用した Linux インスタンスへの接続」をご参照ください。
セッションマネージャーによるパスワードレスログイン
クラウドアシスタントの機能であるセッションマネージャーは、ECS インスタンスへのセキュアなパスワードレスアクセスを提供します:
-
WebSocket Secure (WSS) プロトコルを使用して、セッションマネージャークライアント、クラウドアシスタントサーバー、クラウドアシスタントエージェント間の接続を暗号化します。
-
Resource Access Management (RAM) を通じて認証を行うため、パスワード管理とそれに伴うセキュリティリスクが不要になります。
-
インバウンドポートを開くことなくクラウドアシスタントエージェントを介して接続するため、攻撃対象領域を縮小します。
詳細については、「セッションマネージャーを使用した接続」をご参照ください。
0.0.0.0/0 からのポートアクセスの制限
Linux は SSH (ポート 22)、Windows は RDP (ポート 3389) をリモート接続に使用します。これらのポートで 0.0.0.0/0 からのアクセスを許可すると、インスタンスが不正なログインにさらされる可能性があります。インスタンスレベルの仮想ファイアウォールとしてセキュリティグループを使用して、ネットワークアクセス制御を適用します。詳細については、「セキュリティグループの概要」および「セキュリティグループに関連付けられたリソースの管理」をご参照ください。
OS 強化
OOS パッチベースラインによるパッチ更新の自動化
CloudOps Orchestration Service (OOS) は、デフォルトまたはカスタムのパッチベースラインに基づいて ECS インスタンスのパッチをスキャンしてインストールします。セキュリティ関連の更新など、特定の更新カテゴリを選択して自動インストールできます。詳細については、「パッチ管理の概要」をご参照ください。
Alibaba Cloud Linux 向けカーネルライブパッチ
Alibaba Cloud Linux のカーネルライブパッチ (KLP) は、サーバーの再起動、プロセスの割り込み、ワークロードの移行を行うことなく、CVE やカーネルの重大なバグに対するホットフィックスを適用します。詳細については、「Kernel Live Patching」をご参照ください。
無料基本セキュリティサービスの使用
Alibaba Cloud は、パブリックイメージを使用する新しい ECS インスタンスに、Security Center Basic Edition などの基本的なセキュリティサービスを提供しています。このエディションは、サーバーの脆弱性スキャンや異常ログインアラートなどのセキュリティ強化機能を提供します。高度なセキュリティニーズには、Security Center Advanced Edition および Enterprise Edition を利用できます。詳細については、「基本セキュリティサービス」をご参照ください。

ログ監査とコンプライアンス
ECS は、ログ監査サービスやコンプライアンス基準と統合することで、システムのセキュリティを強化します。
ログ監査
ログイン監査の有効化
インスタンスのログインにセッションマネージャーを使用し、セッションレコードの配信を有効にすることで、Simple Log Service (SLS) または Object Storage Service (OSS) にセッションレコードを保存し、クエリ、監査できます。詳細については、「セッションレコードの配信」をご参照ください。
ActionTrail の有効化
ECS は ActionTrail と統合されており、ECS の操作によってトリガーされた管理イベントをクエリできます。ActionTrail は、リアルタイムの監査とトラブルシューティングのために、イベントを SLS の Logstore または OSS のバケットに配信します。詳細については、「ECS のイベント監査」をご参照ください。
Log Audit Service の有効化
SLS 上に構築された Log Audit Service を有効にすると、コンプライアンス監査のため、複数のアカウントやクラウド製品にまたがるログをリアルタイムで自動的に一元収集できます。
コンプライアンス
レベル 3 コンプライアンスイメージ
Alibaba Cloud は、等級保護制度 (MLPS) 2.0 の国家レベル 3 コンプライアンス基準を満たすイメージを提供しています。これには、ID 認証、アクセス制御、侵入防止機能が組み込まれています。
コンプライアンスチェック
Security Center は、等級保護コンプライアンスチェックと ISO 27001 コンプライアンスチェックを提供しており、システムがこれらの基準を満たしているかどうかを確認できます。