Data Security Center (DSC) は、バケットのセキュリティ構成のコンプライアンスを評価します。アクセス制御リスト (ACL) や暗号化ポリシーなどの構成が適切に設定されているかを確認します。DSC は、検出された構成リスクに対処するための提案を提供します。これらの提案に従うことで、Object Storage Service (OSS) バケット内のデータ資産のセキュリティを強化できます。
ソリューション概要
DSC は、OSS バケットに対して以下のベースラインリスクチェック項目をサポートしています。
ポリシー名 | チェック項目 | 説明 |
データストレージのセキュリティ | OSS-バケットのサーバー側暗号化の有効化 | OSS バケットでサーバー側暗号化が有効になっているかを確認します。 データの機密性と完全性を確保するために、暗号化などのセキュリティ対策を施したデータストレージを構成します。 |
データのバックアップとリカバリ | OSS-バケットのバージョン管理の有効化 | OSS バケットでバージョン管理が有効になっているかを確認します。 データ冗長性を管理し、データの可用性を保護するために、バージョン管理とリカバリの仕組みを確立します。 |
アクセス制御管理 | OSS-アクセス元 IP アドレスのホワイトリストの構成 | OSS バケットが公開されているかを確認します。 データ資産の公開を避けるため、ビジネスニーズに基づいてソースからのデータアクセスと使用を制限します。 |
データ転送の暗号化 | OSS-セキュアな暗号化伝送の有効化 | 転送中の OSS ファイルに対して暗号化伝送が有効になっているかを確認します。 プロセス中のセキュリティを確保するために、データ転送アクティビティには暗号化などのセキュリティ対策を使用します。 |
ログ監視監査 | OSS-ログストレージの有効化 | OSS ファイルのログストレージが有効になっているかを確認します。 データ処理ライフサイクル全体で、トレーサビリティを確保するための記録および監視機能が必要です。OSS ファイルのログストレージなどの機能を有効にします。 |
ID と権限の管理 | OSS-匿名アカウントの「読み取り/書き込み/完全制御」権限の構成 | OSS ファイルの権限管理が合理的であるかを確認します。例えば、保存されたファイルの内容を変更できる公開読み書き権限が構成されているかどうかをチェックします。 データアクセスと使用は、最小権限の原則に基づきます。不正アクセスを防ぐため、関連担当者のアクセス権限を定義します。 |
機密データ保護 | OSS-ログファイルの公開読み取り (書き込み) アクセス権限設定、OSS-機密データバケットの公開読み取り (書き込み) アクセスチェック | OSS ログファイルに公開読み書き権限などのデータ漏洩リスクがないかを確認します。また、機密データを含むプロジェクトでアクセス制御が有効になっているかも確認します。 この例では、OSS バケットに対して機密データ検出は実行されません。ベースラインチェックが直接実行されます。そのため、OSS-機密データバケットの公開読み取り (書き込み) アクセスチェック項目はデフォルトで合格します。 |
ベースラインセキュリティチェックを完了し、リスクを処理するには、4 つのステップを実行します。
OSS バケットの作成:OSS バケットを作成します。
DSC への OSS バケットの追加:DSC コンソールでバケットを追加し、構成リスクチェックを有効にします。
ベースラインセキュリティチェックの手動実行:デフォルトでは、DSC は毎日 01:00 頃に接続されたデータ資産に対してセキュリティベースラインチェックを実行します。ベースラインチェックの結果をすぐに表示するには、チェックポリシーを手動で実行する必要があります。
セキュリティリスクの表示と処理:チェック結果を表示し、検出された構成リスクを処理します。
前提条件
Data Security Center の Free Edition を有効化し、DSC に他の Alibaba Cloud リソースへのアクセスに必要な権限を付与していること。
Data Security Center の Free Edition には、ベースラインチェック機能が含まれています。Alibaba Cloud Data Security Best Practicesのチェック項目をサポートし、月間 500 TB の無料 OSS 保護を提供します。この例では、DSC の Free Edition を有効化するだけで十分です。
現在のアカウントで Object Storage Service (OSS) が有効化されていること。
ステップ 1:OSS バケットの作成
OSS コンソールで、バケットページに移動し、[バケットの作成] をクリックします。
[バケットの作成] パネルで、必須パラメーターを構成し、他のパラメーターはデフォルト設定のままにして、[作成] をクリックします。
ステップ 2:DSC への OSS バケットの追加
Data Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、Asset Center を選択します。
新しい Asset Center を例として、Unstructured Data エリアの OSS をクリックし、次に Asset synchronization をクリックします。
資産の同期が完了したら、新しく作成した OSS バケットを見つけ、Configuration Risks スイッチをオンにします。
OSS バケットの Connection Status が Connected に変わるまで待ちます。
ステップ 3:ベースラインチェックの手動実行
3.1 チェックポリシーが有効になっていることの確認
左側のナビゲーションウィンドウで、 を選択します。
タブで、OSS 関連のチェック項目とそのステータスを表示します。
PIPL セキュリティベースラインには、DSC の Enterprise インスタンスが必要です。この例では、Alibaba Cloud Data Security Best Practicesを使用して、権限が付与されたバケットのコンプライアンスをチェックします。
デフォルトでは、DSC はベースラインチェックポリシーのすべてのチェック項目を有効にして、権限が付与された OSS 資産のリスクを検出します。
OSS チェック項目のステータス列に有効化アイコン
が表示されていることを確認します。
3.2 各項目のセキュリティチェックの手動実行
タブで、対象のポリシーを見つけ、[操作] 列の [詳細] をクリックします。
[リスク状況] タブで、各 OSS 関連チェック項目の [チェック] をクリックします。検出ボタンが再度アクティブになったら、検出は完了です。その後、パネルを閉じます。
上記の手順を繰り返し、異なるチェックポリシーのチェック項目の検出を完了します。
ステップ 4:セキュリティリスクの表示と処理
4.1 対象の OSS バケットのチェック結果の表示
ベースラインチェックが完了したら、[資産リスク] タブで対象のバケットを検索し、チェック結果を表示します。検出時間は、最後のチェックが実行された日時を示します。
[操作] 列の [処理] をクリックして、失敗したチェック項目とその推奨される解決策を表示します。
4.2 リスク項目の処理
[リスク詳細] エリアで [処理] をクリックして、対応するページに移動し、リスクを解決します。例えば、OSS-バケットのサーバー側暗号化の有効化リスクを処理できます。
OSS バケットの [サーバー側暗号化] ページにリダイレクトされます。[設定] をクリックします。この例では、暗号化は OSS マネージドに設定されています。[保存] をクリックします。サーバー側暗号化の構成方法の詳細については、「サーバー側暗号化」をご参照ください。
4.3 検証のための再チェックの実行
DSC のリスク詳細パネルに戻り、[再チェック] をクリックします。
チェックが合格すると、リスク項目が解決されたことを示します。
これらの手順に従ってすべてのリスク項目を処理し、OSS バケットのセキュリティ構成コンプライアンスを向上させることができます。
まとめ
既存の OSS バケットにデータを保存する前に、セキュリティ構成コンプライアンスチェックを完了して、データストレージのセキュリティを強化してください。
機密データ保護ポリシー
デフォルトでは、OSS-機密データバケットの公開読み取り (書き込み) アクセスチェック項目は、機密データがまだ検出されていない OSS バケットに対してベースラインセキュリティチェックに合格します。バケットにデータを保存した後もコンプライアンスを維持するには、機密データ検出タスクを作成します。このタスクは、バケットを定期的にスキャンして機密データを検出します。機密データが検出された場合、DSC は OSS-機密データバケットの公開読み取り (書き込み) アクセスチェックベースラインチェックを実行します。これにより、このチェック項目に関連するリスクを迅速に処理できます。
機密データ検出タスクの詳細については、「検出タスクを使用した機密データのスキャン」をご参照ください。
Data Security Center の Free Edition は、月間 5 GB の無料 OSS データ検出を提供します。このクォータがビジネスニーズを満たさない場合は、Data Security Center の有料インスタンスを購入する必要があります。詳細については、「Data Security Center の購入」をご参照ください。
ホワイトリスト管理
特定の資産に対する失敗したチェックを無視できると判断した場合は、[資産リスク] タブに移動します。対象の資産を見つけ、[操作] 列の [ホワイトリストに追加] をクリックします。これにより、そのチェック項目に対して資産がホワイトリストに追加されます。
Data Security Center の Free Edition は、ホワイトリスト管理をサポートしていません。ホワイトリスト機能を使用するには、Data Security Center の Enterprise インスタンスを購入する必要があります。
