Data Security Center (DSC) は、アクセスコントロールリスト (ACL) や暗号化ポリシーなどの項目をチェックすることで、バケットのセキュリティ設定のコンプライアンスを評価できます。DSC は、検出された設定リスクに対する修正案を提案します。これらのリスクにできるだけ早く対処して、OSS バケット内のデータ資産のセキュリティを向上させることを推奨します。
ソリューション概要
DSC は OSS バケットに対して以下のベースラインリスクチェック項目に対応しています。
ポリシー名 | チェック項目 | 説明 |
データストレージセキュリティ | OSS-Enable server-side encryption for buckets | OSS バケットでサーバー側の暗号化が有効になっているかどうかをチェックします。 保管時のデータは、データの機密性と完全性を確保するために暗号化する必要があります。 |
バックアップと復元 | OSS-Enable versioning for buckets | OSS バケットでバージョニングが有効になっているかどうかをチェックします。 バージョニングと復元のメカニズムは、データの冗長性を確保し、データの可用性を高めます。 |
アクセス制御管理 | OSS-Enable hotlink protection for buckets、OSS-Configure a source IP address whitelist | OSS バケットが公開されているかどうかをチェックします。 データ資産の公開を防ぐために、ビジネスニーズに基づいてデータへのアクセスと使用を特定のソースに制限する必要があります。 |
[Data Transmission Encryption] | OSS-Enable secure data transmission | OSS ファイルのデータが転送中に暗号化されているかどうかをチェックします。 データ転送時には、セキュリティを確保するために暗号化を使用する必要があります。 |
ログの監視と監査 | OSS-Enable log storage | OSS ファイルのログストレージが有効になっているかどうかをチェックします。 データ処理ライフサイクル全体で、トレーサビリティを確保するために記録および監視機能を備える必要があります。OSS ファイルのログストレージを有効にする必要があります。 |
ID と権限の管理 | OSS-Configure read/write or full control permissions for anonymous accounts | OSS ファイルの権限が適切に管理されているかをチェックします。たとえば、保存されているファイルコンテンツの変更を許可する公開読み書き権限が設定されているかどうかをチェックします。 データへのアクセスと使用は、最小権限の原則に従う必要があります。不正アクセスを防ぐために、関連担当者のアクセス権限を定義する必要があります。 |
機密データの保護 | OSS-Check public read/write access permissions for buckets with sensitive data、OSS-Configure public read/write access permissions for log files | OSS ログファイルに対する公開読み書き権限など、データ侵害のリスクをチェックします。また、機密データを含むバケットでアクセス制御が有効になっているかどうかもチェックします。 この例では、DSC は OSS バケットで機密データ検出を実行せずに、直接ベースラインチェックを行います。 OSS-Check public read/write access permissions for buckets with sensitive data のチェックはデフォルトで合格となります。 |
セキュリティベースラインチェックとリスクへの対処は、4 つのステップで完了できます。
OSS バケットの作成: OSS バケットを作成します。
DSC への OSS バケットの追加: 資産センターで、バケットの設定リスクチェックを有効にします。
セキュリティベースラインチェックの手動実行: デフォルトでは、セキュリティベースラインチェックは毎日午前 1 時頃にすべての接続済みデータ資産に対して実行されます。結果をすぐに表示するには、手動でチェックを実行する必要があります。
セキュリティリスクの表示と対処: チェック結果に基づいて、検出された設定リスクに対処します。
前提条件
Data Security Center の Free Edition を有効化し、DSC に他の Alibaba Cloud リソースへのアクセス権を付与していること。
Data Security Center の [Free Edition] には、ベースラインチェック機能が含まれています。この機能は、[Alibaba Cloud Data Security Best Practices] に基づくチェックに対応し、月あたり 500 TB の無料の OSS 保護容量が含まれています。この例では、DSC の [Alibaba Cloud Data Security Best Practices] を使用します。
アカウントで Object Storage Service (OSS) がすでに有効化されていること。
ステップ 1: OSS バケットの作成
Object Storage Service (OSS) コンソールの [バケット] ページで、[バケットの作成] をクリックします。
[バケットの作成] パネルで、必要なパラメータを設定し、他のパラメータはデフォルト値のままにして、OK をクリックします。
ステップ 2: DSC への OSS バケットの追加
Data Security Center コンソールにログインします。
左側メニューで、Asset Center を選択します。
ここでは新しい Asset Center を例に説明します。Asset Center ページの左側にある Unstructured Data 領域で、OSS をクリックし、次に Asset synchronization をクリックします。
資産の同期が完了したら、新しく作成した OSS バケットを見つけて、Configuration Risks スイッチを有効にします。
OSS バケットの Connection Status が Connected に変わるまで待ちます。
ステップ 3: ベースラインチェックの手動実行
3.1 チェックポリシーが有効であることの確認
左側メニューで、 を選択します。
タブで、OSS 関連のチェック項目とそのステータスを表示します。
[PIPL-based Security Baseline Check]を使用するには、DSC の Enterprise Edition を購入する必要があります。この例では、[Alibaba Cloud Data Security Best Practices] を使用して、承認されたバケットのコンプライアンスチェックを実行します。
デフォルトでは、DSC はベースラインチェックポリシーのすべてのチェック項目を有効にして、承認された OSS 資産のリスクを検出します。
OSS 関連のチェック項目の [ステータス] 列に有効アイコン
が表示されていることを確認します。
3.2 各項目のセキュリティチェックの手動実行
タブで、対象のポリシーを見つけ、Actions 列の Details をクリックします。
Risk Situation タブで、各 OSS 関連のチェック項目について、Check ボタンをクリックします。チェックボタンが再びアクティブになると、チェックは完了です。その後、パネルを閉じます。
これらの手順を繰り返して、関連するすべてのチェックポリシーのチェックを完了します。
ステップ 4: セキュリティリスクの表示と対処
4.1 対象 OSS バケットのチェック結果の表示
ベースラインチェックが完了すると、[資産リスク] タブで、ターゲットバケットを検索します。結果には、5 つのセキュリティ設定項目がセキュリティチェックに合格したことが表示されます。最終チェック時刻も表示されます。
Actions 列の Handle をクリックして、不合格のチェック項目と修復の提案を表示します。
4.2 リスク項目への対処
Risk Details 領域で、Handle をクリックして対応するページに移動し、OSS-Enable server-side encryption などのリスクに対処できます。
OSS バケットの [サーバー側の暗号化] ページに移動し、Settings をクリックし、OSS マネージド暗号化などの暗号化方式を選択して、Save をクリックします。サーバー側の暗号化の詳細については、「サーバー側の暗号化」をご参照ください。
4.3 検証のための再チェックの実行
DSC のリスク詳細パネルに戻り、Recheck をクリックします。
チェックに合格し、リスク項目が解決されたことを示します。
これらの手順に従ってすべてのリスク項目に対処し、OSS バケットのセキュリティ設定のコンプライアンスを向上させることができます。
まとめ
データを格納する前に OSS バケットのセキュリティ設定のコンプライアンスをチェックすることで、データストレージのセキュリティを強化できます。
機密データ保護ポリシー
OSS バケットで機密データ検出が実行される前は、OSS-Check public read/write access permissions for buckets with sensitive data チェック項目はデフォルトでセキュリティベースラインチェックに合格となります。データが格納された後も OSS バケットのコンプライアンスを維持するために、機密データ検出タスクを作成できます。このタスクは、OSS バケットを定期的にスキャンして機密データを検出します。機密データを含むバケットに対して、DSC は OSS-Check public read/write access permissions for buckets with sensitive data ベースラインチェックを実行します。これにより、このチェック項目のリスクに迅速に対処できます。
詳細については、「検出タスクを使用した機密データのスキャン」をご参照ください。
DSC の Free Edition では、毎月 5 GB 分の資産を無料でスキャンできます。このクォータがビジネスニーズに不十分な場合は、Data Security Center の Enterprise Edition を購入できます。詳細については、「Data Security Center の購入」をご参照ください。
ホワイトリスト管理
資産のチェック項目の結果を無視するには、[資産リスク] タブに移動します。対象資産の Actions 列で、Add to Whitelist をクリックして、そのチェック項目のホワイトリストに資産を追加します。
Data Security Center の Free Edition は、ホワイトリスト管理に対応していません。この機能を使用するには、DSC の Enterprise Edition を購入する必要があります。
