Alibaba Cloud Bastionhost は、統一された運用保守 (O&M) エントリポイント、詳細な権限コントロール、およびエンドツーエンドの操作監査を提供します。これにより、Elastic Compute Service (ECS) インスタンスを保護し、身分認証、アクセスの制御、監査証跡に関する Multi-Level Protection Scheme (MLPS) 2.0 レベル 3 のコア要件を満たすことができます。
セキュリティリスク
O&M エンジニアが Secure Shell Protocol (SSH) または Remote Desktop Protocol (RDP) を使用してインターネットやオフィスネットワークからサーバーに直接アクセスするなどの従来の O&M メソッドは、コントロールが困難ないくつかのリスクをもたらします:
不明な ID と権限の乱用: root や Administrator などのローカルサーバーアカウント、または共有アカウントが O&M に使用される場合、オペレーターを正確に特定することは不可能です。権限の高いアカウントの認証情報が漏洩した場合、攻撃者は直接アクセスして権限を乱用し、悪意のある操作を実行する可能性があります。これにより、責任の所在を特定することが困難になります。
操作のブラックホール: サーバー上でローカルに実行された操作は、複雑な監査ツールが設定されていない限り、完全に記録されないことがよくあります。セキュリティインシデントの後、操作ログや画面録画などの詳細な証拠がないため、インシデントを責任者まで追跡することは不可能です。また、これにより攻撃パスを分析し、損失の範囲を特定することも困難になります。
無秩序な認証情報管理と漏洩リスク: O&M エンジニアが数百または数千のサーバーを管理する場合、多数のパスワードとキーを管理する必要があります。これは、弱いパスワードの使用、パスワードの再利用、安全でない場所への認証情報の保存など、安全でない慣行につながることがよくあります。これらの慣行は、認証情報漏洩のリスクを大幅に高めます。
ラテラルムーブメントの温床: 攻撃者が侵害されたジャンプサーバーまたは O&M エンジニアの PC を介してサーバーにアクセスした場合、そのサーバーを足がかりとして使用できます。そこから、内部ネットワーク全体でラテラルムーブメント攻撃を開始し、より多くのコアシステムを侵害する可能性があります。
機密データの漏洩: 制御されていない O&M チャンネルにより、O&M エンジニアや攻撃者は、ファイル転送やデータベースのエクスポートを使用して、機密性の高いコアデータをローカルマシンに簡単にダウンロードでき、データ侵害につながる可能性があります。
ベストプラクティス
Bastionhost を使用して、ECS インスタンス資産を一元管理し、セキュリティグループを設定してアクセスを制限し、O&M エンジニアのアカウントと権限を管理し、すべてのユーザー操作を監査できます。これにより、ユーザーは Bastionhost を介してのみシステムにログインできるようになります。
Bastionhost の計画とデプロイ
Bastionhost 購入ページ に移動してインスタンスを購入し、ビジネスニーズに基づいて仕様を選択します。次に、Bastionhost コンソール でインスタンスを有効にします。詳細については、「Bastionhost インスタンスの購入とログイン」をご参照ください。
デフォルトで拒否するネットワークアクセスポリシーの設計
すべてのトラフィックが Bastionhost を通過することを要求するネットワークレイヤーのルールを適用できます。
専用のセキュリティグループの作成: ECS インスタンス専用のセキュリティグループを作成または使用します。そのインバウンドルールを設定して、デフォルトですべての外部アクセス、特に SSH (ポート 22) および RDP (ポート 3389) ポートへのアクセスを拒否します。
アクセスを許可する例外ルールの設定: セキュリティグループで、Bastionhost のエグレス IP アドレスからのトラフィックのみが、ポート 22 やポート 3389 などの宛先 ECS インスタンスの O&M ポートにアクセスできるようにするインバウンドルールを追加します。
ルール例:
アクション: 許可
優先度: 1 (最高)
プロトコル: TCP
ソース: 取得した Bastionhost のエグレス IP アドレスを入力します。例: 47.100.XX.XX/32。
宛先: 22/22 (SSH) または 3389/3389 (RDP)
次の図に示すように、セキュリティグループは 10.0.0.185 (Bastionhost の IP アドレス) のみがグループ内のサーバーのポート 22 にアクセスすることを許可します。
資産と ID の一元管理
資産のインポート: Bastionhost コンソールでは、ECS インスタンス、データベース、アプリケーションなど、O&M を必要とする資産を一元的にインポートして管理できます。
詳細については、「ホストの作成」をご参照ください。
ID ソースの統合:
Bastionhost ユーザーを作成できます。その後、ユーザーは Bastionhost にログインして資産の O&M を実行できます。詳細については、「ユーザーの管理」をご参照ください。
エンタープライズに成熟した身分認証システムがある場合は、Bastionhost を既存の ID ソース (Resource Access Management (RAM) ユーザー、Active Directory (AD)/Lightweight Directory Access Protocol (LDAP) など) や、IDaaS を使用する DingTalk や WeCom などのサービスと統合できます。これにより、ID の一元管理が可能になります。詳細については、「身分認証のベストプラクティス」をご参照ください。
アクセスコントロールポリシーの設定
資産に対するユーザーへの権限付与: 最小権限の原則に従います。各 Bastionhost ユーザーには、作業に必要な最小限の資産セットに対する権限のみを付与します。たとえば、開発者は開発環境のサーバーにのみアクセスでき、データベース管理者はデータベースサーバーにのみアクセスできます。詳細については、「資産および資産アカウントに対する権限をユーザーに付与する」をご参照ください。
詳細なコントロールポリシーの設定: Bastionhost のコントロールポリシー機能を使用して、より詳細なコントロールを行うことができます。たとえば、特定のユーザーが `rm -rf` などの重要なコマンドを実行するのを制限したり、ファイル転送の種類とサイズに制限を設定したり、機密性の高い操作に対して 2 人によるレビューと承認を有効にしたりできます。詳細については、「コントロールポリシーの設定」をご参照ください。