Edge Node Service (ENS) にアプリケーションをデプロイして超低遅延を実現する場合、ワークロードは Alibaba Cloud の中央リージョンの従来のセキュリティ境界の外に配置されることになります。この分散アーキテクチャは、地理的に分散したこれらのインスタンスに、堅牢で一元的なセキュリティコントロールをどのように適用するかという、根本的なセキュリティ上の課題を生み出します。このトピックでは、Security Center、エッジクラウドのネットワークセキュリティ機能、Bastionhost、および Anti-DDoS Proxy を使用してエッジアセットを保護する方法について説明します。
Security Center によるホストレベルのセキュリティ
Alibaba Cloud の Security Center は、クラウドネイティブ技術と広範なセキュリティ専門知識を活用して、包括的なホスト保護を提供します。クラウド資産管理、セキュリティ構成評価、プロアクティブ防御、セキュリティ強化、セキュリティ可視化などの主要分野をカバーしています。構成の不備、コンプライアンス問題、脆弱性、漏洩した AccessKey ペアなどのリスクをリアルタイムで検出します。また、ランサムウェア、クリプトマイニングマルウェア、トロイの木馬、Web シェル、Web ページの改ざんなどの脅威からも防御します。詳細な紹介については、「Security Center」をご参照ください。
ENS でサポートされる Security Center の機能
カテゴリ | 左側のナビゲーションウィンドウのパス | 機能 |
[アセット] | 資産 > 概要 | アセットの概要 |
資産 > ホスト | 最新のアセットを同期 | |
マルチクラウドのアセットを追加 | ||
セキュリティチェック | ||
クライアントの問題をトラブルシューティング | ||
アセット収集 | ||
一括 O&M とモニタリングを実行 (Cloud Assistant が必要) | ||
保護を有効化または一時停止 | ||
バインディングを解除 | ||
アセットのフィンガープリントを調査 | ||
リスクガバナンス | リスクガバナンス > 脆弱性 | Linux ソフトウェアの脆弱性 (検出/修正) |
Windows システムの脆弱性 (検出/修正) | ||
Web-CMS の脆弱性 (検出/修正) | ||
緊急の脆弱性 (検出) | ||
アプリケーションの脆弱性 (SCA 検出) | ||
[リスク管理] > [CSPM] | ベースラインチェック (チェック/修正) | |
リスクガバナンス > クラウドハニーポット | ホストハニーポット | |
リスクガバナンス > 悪意のあるファイル検出 SDK | 不正ファイル検出 SDK | |
リスクガバナンス > ログ分析 | ホストログ | |
セキュリティログ | ||
[検出とレスポンス] | 検知とレスポンス > アラート | Web ディレクトリ定義 |
アラート処理ルール | ||
データアーカイブ | ||
隔離されたファイルの表示と復元 | ||
検出と対応 > ログ管理 | 攻撃分析 | |
[保護設定] | 保護設定 > ホスト保護 > ランサムウェア対策 | ランサムウェア対策 |
保護設定 > ホスト保護 > ウイルス検出と駆除 | ウイルススキャン | |
保護設定 > ホスト保護 > Web 改ざん防止 | Web 改ざん防止 | |
保護設定 > ホスト保護 > ホスト固有ルール管理 | 不正な動作の防御 | |
共通ログイン管理 | ||
保護設定 > コンテナ保護 > コンテナイメージスキャン | イメージのシステム脆弱性をスキャン | |
イメージのアプリケーション脆弱性をスキャン | ||
イメージのベースラインチェック | ||
イメージの不正なサンプルをスキャン | ||
イメージのシステム脆弱性を修正 | ||
イメージのアプリケーション脆弱性を修正 | ||
イメージの不正なサンプルを修復 | ||
保護設定 > コンテナ保護 > コンテナのプロアクティブ防御 | コンテナのプロアクティブ防御 | |
保護設定 > コンテナ保護 > コンテナファイル保護 | コンテナファイアウォール | |
保護設定 > アプリケーション保護 | アプリケーション保護 | |
[システム設定] | システム設定 > セキュリティレポート | セキュリティレポート |
システム設定 > 機能設定 | 機能設定 | |
[システム設定] > [通知設定] | 通知設定 |
Security Center の有効化とデプロイ
Security Center の購入:
Security Center は Alibaba Cloud の公式サイトの製品ページから直接購入できます。Security Center は、さまざまなセキュリティニーズに対応するために、複数のエディションと付加価値サービスを提供しています。ニーズに最適なエディションとサービスを購入できます。詳細については、「Security Center の購入」をご参照ください。
ENS インスタンスへの Security Center エージェントのインストール:
ENS インスタンスを Security Center で保護するには、Security Center エージェントをインストールする必要があります。この軽量なエージェントはホストデータを収集し、潜在的なセキュリティ脅威を監視・検出します。
Security Center エージェントをインストールする前に、Edge Node Service インスタンスがインターネットにアクセスできることを確認してください。
ENS インスタンスにログインし、管理者または root 権限でインストールコマンドを実行します。
Linux 用インストールコマンド
wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh -k=v342lkWindows の CMD 用インストールコマンド
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe',$ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe -k=Az481e"
インストールの確認:
インストール後、Security Center エージェントはコンポーネントをダウンロードし、サーバー上で対応するプロセスを開始します。エージェントのプロセスステータスを確認するか、Security Center コンソールでステータスを表示することで、インストールを確認できます。
以下の図は、ENS インスタンスが Security Center の [ホスト] アセットリストに正常に追加された状態を示しています。
説明エッジインスタンスは、その計算能力が Alibaba Cloud の中央リージョン外のノードに分散されているため、Security Center コンソールでは「クラウド外のサーバー」として表示されます。
ネットワークレベルのセキュリティ:セキュリティグループとネットワーク ACL
1. セキュリティグループ
セキュリティグループは ENS の仮想ファイアウォールとして機能し、エッジノード上の ENS インスタンスのインバウンドおよびアウトバウンドトラフィックを制御します。インバウンドルールは受信トラフィックを制御し、アウトバウンドルールは送信トラフィックを制御します。
セキュリティグループを使用するワークフローは、以下の 4 つのステップで構成されます。
セキュリティグループの作成:
エッジクラウド用のセキュリティグループの作成プロセスは、中央クラウド用のものとは異なります。エッジクラウド用のセキュリティグループを作成する際は、セキュリティグループの名前を指定するだけで済みます。エッジクラウド用のセキュリティグループは、特定のノードや VPC には属しません。セキュリティグループとそのルールは、グローバルにあらゆるノードと VPC で有効になります。
セキュリティグループルールの追加:
セキュリティグループルールは、ENS インスタンスのインバウンドおよびアウトバウンドトラフィックを制御します。特定のネットワークトラフィックの許可または拒否、不要なポートのブロック、特定のプロトコルのトラフィック制限、アプリケーションのアクセス権限の設定などのシナリオで使用できます。
セキュリティグループルールは、セキュリティグループの作成時に追加することも、作成後に追加することもできます。
ENS インスタンスのセキュリティグループへの追加:
ENS インスタンスを作成する際、1 つのセキュリティグループに追加できます。その後、必要に応じて ENS インスタンスリストページからインスタンスを複数のセキュリティグループに追加できます。トラフィックが ENS インスタンスを通過できるかどうかを判断するために、関連するすべてのセキュリティグループのルールが集約され、固定ポリシーによってソートされ、デフォルトのアクセス制御ルールとともに ENS インスタンスに適用されます。このプロセスにより、トラフィックを許可するか拒否するかが決定されます。
セキュリティグループルールの管理:
不適切に構成されたセキュリティグループルールは、深刻なセキュリティリスクにつながる可能性があります。ENS インスタンスのネットワークセキュリティを確保するために、必要に応じてセキュリティグループルールを管理する必要があります。
セキュリティグループの詳細ページで、インバウンドおよびアウトバウンドルールを変更できます。ルールが変更されると、そのセキュリティグループ内のすべてのエッジクラウドノードにわたるすべての ENS インスタンスに適用されます。
2. ネットワーク ACL
ネットワーク ACL は、Virtual Private Cloud (VPC) のネットワークアクセス制御機能です。ネットワーク ACL ルールをカスタマイズし、ネットワーク ACL を VPC にバインドして、エッジクラウド VPC 内の ENS インスタンスからのトラフィックを制御できます。
ネットワーク ACL とセキュリティグループはどちらも、インバウンドおよびアウトバウンドトラフィックを制御するネットワーク機能です。ただし、ネットワーク ACL は VPC 全体に適用されます。そのルールは、その VPC 内のすべての ENS インスタンスに対して VPC に出入りするデータストリームを制御します。セキュリティグループは特定の ENS インスタンスに適用され、そのセキュリティグループに追加された ENS インスタンスのインバウンドおよびアウトバウンドデータストリームのみを制御します。
エッジクラウド VPC にデプロイされたサービスのインターネットアクセスルールが一貫している場合は、ネットワーク ACL を構成してすべての ENS インスタンスのトラフィックを制御できます。エッジクラウド VPC にデプロイされたサービスが多様である場合は、より詳細なセキュリティグループを使用して特定の ENS インスタンスのトラフィックを制御できます。
Bastionhost による安全な運用と監査
BBastionhost は、リソースへの一元化された安全なアクセスを提供する運用保守 (O&M) セキュリティおよび監査プラットフォームです。権限の管理、操作の制御、およびセッション録画によるすべてのアクティビティの監査を可能にし、すべての操作が識別可能、制御可能、監査可能であることを保証します。これにより、企業は多数のアセットを管理し、O&M の責任を明確にし、インシデントを追跡し、コンプライアンス要件を満たすことができます。Bastionhost の詳細については、「製品概要」をご参照ください。
ENS の O&M セキュリティセンター:
ENS リソースを管理するには、Bastionhost の Enterprise Dual-Engine エディションを使用します。このエディションは、ネットワークドメインプロキシモードをサポートし、エッジアセットに対する統一された O&M 制御を実現します。
機能 | 説明 |
ユーザー管理 | 管理者、O&M エンジニア、監査者など、複数のユーザーロールをサポートします。 |
個々のユーザーの作成と、ファイルからの一括ユーザーインポートをサポートします。 | |
RAM、AD、LDAP ユーザーの自動同期をサポートします。 | |
IDaaS への接続をサポートし、DingTalk や Azure AD などのさまざまな ID ソースからユーザーを Bastionhost ユーザーとして同期します。 | |
期限切れ、ロック済み、非アクティブなどのユーザーステータスタグをサポートします。 | |
ユーザーロックアウトやパスワード有効期限などのポリシーをサポートします。 | |
アセット管理 |
|
RDS および MySQL、SQL Server、PostgreSQL、Oracle などの自己管理データベースの O&M 制御と監査をサポートします。 | |
Alibaba Cloud およびサードパーティクラウドのアセットの手動作成とワンクリックインポートをサポートします。 | |
アセットの認証情報ホスティング (パスワードまたはキー) をサポートします。O&M エンジニアは、アセットのパスワードを知らなくても O&M のためにアセットにアクセスできます。 | |
アセットのステータス検出をサポートします。ECS および RDS インスタンスとそのネットワーク接続のステータスを定期的または手動で確認できます。 | |
Security Center のアセットリスク監視と連携します。アラート、脆弱性、ベースラインリスクなどのリスクのステータスと数をタイムリーに通知します。また、リスクを処理するために Security Center への迅速なナビゲーションもサポートします。 | |
マルチクラウド、オンプレミス、オフライン IDC サーバーを含むハイブリッドシナリオの統一された O&M をサポートします。 | |
ネットワークドメインプロキシモードをサポートします。Bastionhost はプロキシサーバーを介して他の内部ネットワーク環境のアセットに接続できます。 | |
Linux サーバーの手動またはスケジュールされたパスワード変更タスクをサポートします。 | |
O&M 制御 | ショートメッセージ、メール、モバイル TOTP トークン、DingTalk を使用した二要素認証をサポートします。 |
Mstsc、Xshell、SecureCRT、PuTTY などのクライアントツールを使用して Bastionhost にログインし、ホストにアクセスすることをサポートします。 | |
WinSCP、Xftp、SecureFX などのローカル SFTP クライアントツールを使用して Bastionhost にログインし、ファイル転送を行うことをサポートします。 | |
独立した O&M ポータルをサポートします。 | |
ホストへの Web ベースのアクセスをサポートします。 | |
進行中のセッションのリアルタイムモニタリングをサポートし、いつでもセッションをブロックできます。 | |
RDP ベースの O&M 中に、クリップボードのアップロードまたはダウンロード、ディスクマッピングなどの操作の制御をサポートします。 | |
SSH ベースの O&M 中に、コマンドのブラックリスト、ホワイトリスト、承認ポリシーを設定して、高リスクで機密性の高いコマンドの実行を制御することをサポートします。 | |
O&M 中に、アップロード、ダウンロード、削除、名前の変更などのファイル操作、および作成、削除などのフォルダー操作の制御をサポートします。 | |
O&M の二次承認を有効にすることをサポートします。O&M エンジニアは、管理者がアクセスリクエストを承認した後にのみアセットにアクセスできます。 | |
Bastionhost にログインするユーザーとアセットのソース IP アドレスとログイン時間を制限することをサポートします。 | |
O&M セッションのアイドル時間と合計時間の制限を設定することをサポートします。 | |
ログ監査 | O&M 操作の完全なロギングとビデオ録画をサポートします。ビデオ再生を通じて O&M プロセスを明確に復元および追跡できます。 |
ファイル転送の監査をサポートします。 | |
O&M レポートの生成をサポートします。レポートは PDF、HTML、Word 形式でエクスポートできます。 | |
セッション監査ログを SLS に保存し、ログバックアップ機能を使用してローカルにダウンロードすることをサポートします。 | |
API | OpenAPI 呼び出しをサポートします。 |
Bastionhost の有効化とデプロイ
Bastionhost の購入:
Bastionhost は Alibaba Cloud のウェブサイトの製品ページから購入できます。Bastionhost は、さまざまなシナリオの O&M セキュリティニーズを満たすために複数のエディションを提供しています。詳細については、「無料トライアルの有効化」をご参照ください。
ENS インスタンスの管理:
Bastionhost インスタンスを購入した後、Bastionhost 管理ページで管理できます。
ネットワークドメインの作成:
Bastionhost は Alibaba Cloud の中央クラウドで実行されます。エッジクラウドの計算能力は中央クラウド外のノードに分散されています。そのため、エッジクラウドのコンピューティングリソースは Bastionhost が存在する VPC の内部ネットワークに接続できません。ENS インスタンスを管理するには、Bastionhost のネットワークドメイン機能を使用することを推奨します。
ENS アセットにプロキシサーバーを構成できます。その後、Bastionhost でネットワークドメインを作成し、プロキシサーバーを追加し、アセットをネットワークドメインに追加します。これにより、Bastionhost を使用してアセットの O&M を実行できます。
[ネットワークドメイン] リストページで、ネットワークドメインを作成できます。接続方法を [プロキシ] に設定し、[プライマリプロキシサーバー] を構成します。
プライマリプロキシサーバーには、[プロキシタイプ]、[サーバーアドレス]、[サーバーポート]、[ホストアカウント]、および [パスワード] を構成します。[プロキシタイプ] は [SSH プロキシ]、[HTTP プロキシ]、または [SOCKS5 プロキシ] にすることができます。
アセット管理 - ENS インスタンスのインポート:
ホストリストページで、[他のソースホストをインポート] を選択し、[ホストを作成] メソッドを使用して ENS インスタンスを管理します。
[ホストを作成] パネルで、[オペレーティングシステム]、[ホスト IP]、[ホスト名]、[ネットワークドメイン] などのパラメーターを構成する必要があります。
[ネットワークドメイン] を [プロキシ] に設定した場合は、ホスト IP を内部 IP アドレスに設定します。[ネットワークドメイン] を [直接接続] に設定した場合は、ホスト IP をパブリック IP アドレスに設定します。
アセット管理 - ホストアカウントの作成:
ENS インスタンスをホストアセットとしてインポートした後、[ホスト] リストページに移動します。[操作] 列で、[ホストアカウントを作成] をクリックします。日常の O&M アクセスのために、[プロトコル]、[ログイン名]、[認証タイプ]、および対応する [パスワード] または [キー] を構成します。
ユーザー管理 - ホストの承認:
ホストをインポートした後、[ユーザー管理] > [ユーザー] ページに移動して、RAM ユーザーにホストリソースに対する運用保守 (O&M) 権限を付与します。
アセット O&M:
ログイン後、承認された RAM ユーザーは [アセット O&M] > [ホスト O&M] ページに移動して、承認されたホストリソースを表示できます。そこから、[リモート接続] メソッドを使用してホストの O&M を実行できます。
DDoS 攻撃対策
Anti-DDoS は、Alibaba Cloud のプロキシベースの保護サービスです。ボリューム型 DDoS 攻撃とリソース枯渇型 DDoS 攻撃を緩和します。Alibaba Cloud 上、Alibaba Cloud 外、または他のクラウド上のサーバーの保護をサポートします。サービスを Anti-DDoS に接続した後、大規模な DDoS 攻撃が発生した場合、Anti-DDoS は DNS 解決を使用してトラフィックを Anti-DDoS スクラビングセンターに再ルーティングしてトラフィックスクラビングを行います。その後、クリーンなトラフィックのみをサーバーに転送します。
Anti-DDoS Pro および Anti-DDoS Premium の詳細については、「Anti-DDoS Pro および Anti-DDoS Premium とは」をご参照ください。
ENS でサポートされる Anti-DDoS 機能
Anti-DDoS Proxy は、ビジネスサーバーのデプロイリージョンに基づいて、Anti-DDoS Proxy (中国本土) と Anti-DDoS Proxy (中国本土以外) の 2 つのバージョンで利用できます。
Anti-DDoS Pro:中国本土にサーバーがデプロイされているサービスに適しています。中国本土で独自の T レベル、8 回線のボーダーゲートウェイプロトコル (BGP) 帯域幅リソースを使用して、接続されたサービスに対する大規模な DDoS 攻撃を防御します。Professional および Premium インスタンスタイプを提供します。
Anti-DDoS Premium:中国本土以外にサーバーがデプロイされているサービスに適しています。高度な分散型ニアオリジントラフィックスクラビング機能を使用して、接続されたサービスに対する DDoS 攻撃に対して無制限のベストエフォート保護を提供します。
カテゴリ | Anti-DDoS Pro | Anti-DDoS Premium | ||
IPv4 保護 | IPv6 保護 | |||
接続タイプ | ウェブサイト設定 |
|
|
|
ポート設定 |
|
|
| |
Sec-Traffic Manager | サポート詳細:
| 以下の項目がサポートされています:
| 以下がサポートされています:
| |
インフラストラクチャの保護 | グローバル緩和ポリシーの構成 |
|
|
|
ブラックリストとホワイトリストの構成 (Anti-DDoS インスタンス IP 用) |
|
|
| |
ロケーションブラックリストの構成 | 拡張機能プランでのみサポート | × | 拡張機能プランでのみサポート | |
ブラックホールフィルタリングの無効化 |
| × | × | |
ニアオリジントラフィック転送の構成 |
| × | × | |
UDP リフレクション攻撃の緩和機能の構成 | 拡張機能プランでのみサポート | × | 拡張機能プランでのみサポート | |
ウェブサイトサービスの保護 | インテリジェント保護の構成 |
|
|
|
Anti-DDoS グローバル緩和ポリシーの構成 |
|
|
| |
ブラックリストとホワイトリストの構成 (ドメイン名用) |
|
|
| |
ロケーションブラックリストの構成 (ドメイン名用) | 拡張機能プランでのみサポート | 拡張機能プランでのみサポート | 拡張機能プランでのみサポート | |
CC 攻撃対策の構成 |
|
|
| |
非ウェブサイトサービスの保護 | レイヤー 4 インテリジェント保護の構成 |
| × |
|
偽装ソース |
|
|
| |
高度な攻撃緩和 TCP ポートサービスのみサポートされています。 |
|
|
| |
宛先への速度制限 |
|
|
| |
パケット長制限 |
|
|
| |
ソースレート制限 |
| × |
| |
シナリオ固有のポリシー |
|
|
| |
緩和分析 | 攻撃分析 |
| × |
|
完全なログ分析 |
|
|
| |
システムログ |
|
|
| |
操作ログ |
|
|
| |
高度な緩和ログ |
|
|
| |
CloudMonitor アラート |
|
|
| |
Anti-DDoS の有効化とデプロイ
Anti-DDoS インスタンスの購入:
Anti-DDoS インスタンスは Anti-DDoS ページで購入できます。詳細については、Anti-DDoS Proxy をご参照ください。
アクセス管理:
ウェブサイト設定
ウェブサイトを保護するには、そのドメインを Anti-DDoS に追加します。サービスは CNAME レコードを提供します。その後、ドメインの DNS 設定を更新してこの CNAME レコードを指すようにし、トラフィックを Anti-DDoS を経由して保護します。
ポート設定
非ウェブサイトサービス (クライアントアプリケーションなど) の場合は、ポートフォワーディングルールを構成します。これにより、トラフィックはまず Anti-DDoS を経由してスクラビングされた後、オリジンサーバーに転送されます。
構成の確認:
ウェブサイトまたはポート構成を正常に追加した後、Anti-DDoS は保護 IP に送信されたリクエストをオリジンサーバーの対応するポートに転送します。本番トラフィックを Anti-DDoS に向ける前に、転送構成を検証して、正当なトラフィックがオリジンサーバーに正しく到達できることを確認し、サービスの中断を防ぎます。