従量課金サービスを迅速に有効化できるよう、Security Center では、コンソール上でワンクリックするだけで機能をアクティブ化し、推奨される保護ポリシーを適用できます。これらの機能には、ホストおよびコンテナセキュリティ、Cloud Threat Detection and Response (CTDR)、Cloud Security Posture Management (CSPM)、エージェントレス検出、サーバーレス資産保護、脆弱性修正、アプリケーション保護、および悪意のあるファイル検出用 SDK が含まれます。このトピックでは、これらのサービスのデフォルトのワンクリックオンボーディングポリシーと課金の詳細について説明します。
Enable the one-click policy to automatically receive your bill the next day. を選択し、Activate and Authorize をクリックすると、Security Center はデフォルトでいくつかのポリシーを有効にします。すべてのサーバーに Host Protection または Hosts and Container Protection レベルが割り当てられ、すべてのサーバーレス資産が承認され、CTDR の推奨ログ取り込みポリシーが適用され、CSPM とエージェントレス検出の定期スキャンがスケジュールされ、アプリケーション保護と悪意のあるファイル検出用 SDK のデフォルトのアクセスおよび検出ポリシーがアクティブ化されます。
Security Center は、これらのワンクリックオンボーディングポリシーに基づいて、保護の有効化、権限付与の割り当て、ログの取り込み、スキャンと検出を自動的に実行します。
Security Center は、有効化された各機能の課金ルールに従って日次請求書を生成します。予期せぬ請求を避けるため、ワンクリックオンボーディングポリシーを有効にする前に、内容を注意深く読み、理解してください。
ワンクリックオンボーディングポリシー
ホストおよびコンテナセキュリティ
アクティブ化と承認後、ホストおよびコンテナセキュリティ機能は、ご利用の Alibaba Cloud アカウント内のすべてのサーバーに保護レベル ([ホスト保護] または Hosts and Container Protection) を自動的に割り当てます。
Alibaba Cloud の ACK クラスターノード、Intelligent Computing LINGJUN、自己管理型 Kubernetes クラスターのサーバーなど、コンテナ環境を実行しているサーバー資産は、自動的に Host and Container Protection にバインドされます。他のすべての資産は、自動的に Host Protection にバインドされます。
後で、概要 ページに移動し、Security Centerコンソール で Quota Management 機能を使用して、サーバーに割り当てられた保護レベルを変更できます。詳細については、「ホストおよびコンテナのセキュリティ権限付与の管理」をご参照ください。
新しいホストのデフォルトの保護レベルは Unprotected です。Quota Management 機能を使用して、新しいホストの自動保護レベルを設定します。
サーバーレスセキュリティ
アクティブ化と承認が完了すると、サーバーレス資産保護機能は、ご利用の Alibaba Cloud アカウント内のすべてのサーバーレス資産を自動的に承認します。
マネージドまたは専用の Container Service for Kubernetes (ACK) クラスター、ACK Serverless クラスター、または ACS クラスターから作成された Elastic Container Instance (ECI) 資産の場合、サーバーレス資産保護機能を使用するには、Security Center エージェントをインストールして起動する必要があります。詳細については、「1. 保護したい ECI Pod に Security Center エージェントをインストールして起動する」をご参照ください。
後で、 ページに移動し、Security Center コンソール で権限付与管理オプションを使用して、資産のバインド状態を管理できます。詳細については、「3.2. 承認済み資産のバインドまたはアンバインド」をご参照ください。
アプリケーション保護
アクティブ化と承認が完了すると、アプリケーション保護機能は Java プロセスのみの完全保護を自動的に有効にし、低速接続方式を使用して追加します。
後で タブに移動して、オンボーディングするサーバーとプロセスを調整できます。自動完全オンボーディングの詳細については、「自動完全オンボーディング (Java プロセスのみ)」をご参照ください。
悪意のあるファイル検出 SDK
悪意のあるファイル検出機能をアクティブ化して承認すると、Security Center は Auto_Create_Config という名前のデフォルトの検出ポリシーを自動的に作成して有効にします。このポリシーを変更するには、 タブに移動し、ポリシー管理 エリアの Policy Configuration をクリックしてポリシーを表示および変更します。ポリシーの詳細は次のとおりです:
検出範囲:ご利用の Alibaba Cloud アカウント内のすべての OSS バケット。
検出対象:機能が有効になった後のすべての新規または更新されたファイル。
実行サイクル:1 日 1 回。
検出方法:デフォルトでは、ファイルは解凍または復号されません。
このポリシーに基づく検出タスクは、サービスをアクティブ化した同日に実行されます。
Cloud Security Posture Management (CSPM)
これまでに定期的な CSPM スキャンポリシーを有効にしたことがないユーザーの場合:
スキャン頻度:1 日 1 回。システムは特定のスキャン時間をランダムに生成します。
スキャン範囲:
スキャンでは、不適切なセキュリティ設定、公開された高リスクポート、インターネットに公開された許可リスト、パブリックデータの読み取り/書き込み権限、ID と権限管理に関連するリスクなど、セキュリティのベストプラクティスに基づいた一般的な高リスクの設定ミスをチェックします。これらのチェックは、クラウド製品とプラットフォームのセキュリティを向上させるのに役立ちます。
Security Center コンソールで、 ページに移動し、ポリシー管理 パネルでデフォルトのチェック項目を表示できます。選択されたチェック項目が、推奨ポリシーのスキャン範囲を定義します。
これまでに定期的な CSPM スキャンポリシーを有効にしたことがあるユーザーの場合:
スキャン頻度:既存の設定と同じ。
スキャン範囲:既存の設定のチェック項目と、上記で説明した推奨スキャン範囲の和集合。
脆弱性修正
アクティブ化と承認が完了すると、脆弱性修正の従量課金機能がアクティブになります。
Security Center は、毎日 00:00 から 06:00 まで実行される自動脆弱性修正ポリシーを設定します。このポリシーは、新しく追加されたホストを含む、影響を受けるすべての資産の高リスク脆弱性を自動的に修正します。Security Center は、各修正の前にスナップショットを作成し、それを 1 日間保持します。詳細については、「脆弱性の表示と管理」をご参照ください。
エージェントレス検出
スキャン頻度:5 日に 1 回。
スキャン範囲:すべてのマシン。Default Scan for New Assets オプションはデフォルトで有効になっています。
このポリシーに基づく検出タスクは、サービスをアクティブ化した同日に実行されます。
Cloud Threat Detection and Response (CTDR)
アクティブ化と承認を完了すると、CTDR 機能は、次の表にリストされている Alibaba Cloud 製品とデータソースからログを自動的に取り込みます。
ご利用の Security Center のエディションが無料版であるか、付加価値サービスのみを購入している場合、システムは ActionTrail イベントログを取り込みません。
序数 | Alibaba Cloud プロダクト | データソース名 | 標準化ルール名 | 標準化方法 | 標準化の分類/構造 | サポートされるセキュリティ機能 |
1 | Security Center | DNS リクエストログ | ホスト DNS リクエストログ標準化ルール | スキャンクエリ | ホストログ - プロセス DNS リクエストログ |
|
2 | ベースラインログ | ベースラインログ標準化ルール | スキャンクエリ | セキュリティログ - ホストベースラインログ |
| |
3 | ログインフローログ | ログインフローログ標準化ルール | スキャンクエリ | ログインログ - ホストログインログ |
| |
4 | ネットワーク接続ログ | ネットワーク接続ログ標準化ルール | スキャンクエリ | ホストログ - プロセスネットワークアウトバウンド接続ログ |
| |
5 | プロセス起動ログ | プロセス起動ログ標準化ルール | スキャンクエリ | ホストログ - プロセス起動ログ |
| |
6 | セキュリティアラートログ | セキュリティアラートログ標準化ルール | リアルタイム消費 | セキュリティログ - その他のアラートログ | 事前定義されたプレイブック | |
7 | 脆弱性ログ | 脆弱性ログ標準化ルール | スキャンクエリ | セキュリティログ - 脆弱性ログ |
| |
8 | Web Application Firewall | WAF アラートログ | WAF アラートログ標準化ルール | リアルタイム消費 | セキュリティログ - Web Application Firewall アラートログ |
|
9 | WAF フル、ブロック、ブロックアンドオブザーブログ | WAF フル、ブロック、ブロックアンドオブザーブログ標準化ルール | リアルタイム消費 | ネットワークログ - HTTP ログ |
| |
10 | Cloud Firewall | Cloud Firewall アラートログ | Cloud Firewall アラートログ標準化ルール | リアルタイム消費 | セキュリティログ - ファイアウォールアラートログ |
|
11 | ActionTrail | ActionTrail イベントログ | ActionTrail イベントログ標準化ルール | リアルタイム消費 | 監査ログ - クラウドプラットフォーム操作監査ログ |
|
ランサムウェア対策
この機能は、サーバー上の重要なファイルパスを定期的にバックアップします。ランサムウェア攻撃が発生した場合、これらのバックアップを使用してサーバーを復元できます。保護範囲を調整するには、ランサムウェア保護ポリシー管理ページに移動してください。
ログ管理
Security Center はログを Logstore に配信します。デフォルトでは、中国本土のアカウントの場合は中国 (上海) リージョンに、中国本土以外のアカウントの場合はシンガポールリージョンにログを配信します。
課金
基本サービス料金
Security Center のいずれかの従量課金機能を有効にすると、システムは基本サービス料金を請求します。課金ルールは次のとおりです:
サービスを有効にすると、DingTalk ロボット、セキュリティレポート、タスクハブがデフォルトでサポートされます。タスクハブを使用するには、まず脆弱性修正機能を有効にするか購入する必要があります。
-
課金方法:この料金は、従量課金サービスが有効になっている期間に基づいて請求されます。
重要最小課金単位は 1 時間です。期間が 1 時間未満の場合は、1 時間として請求されます。
-
課金サイクル:日次で請求されます。
-
料金: 1 時間あたり USD 0.0072。
ホストおよびコンテナセキュリティ
ホストおよびコンテナセキュリティの従量課金機能を有効にすると、各保護レベルに割り当てられたサーバーの数と実際の保護期間に基づいて料金が計算されます。期間は秒単位で測定され、エージェントがオンラインの場合にのみ累積されます。請求は日次で決済されます。
|
保護レベル |
価格 |
月額料金 (30 日間参考) |
|
Antivirus |
USD 0.000000578 コアあたり1秒ごと |
月額 1.5 米ドル/コア |
|
Advanced |
USD 0.000005497 インスタンスあたり1秒あたり |
USD 14.25 インスタンスあたり月額 |
|
Host Protection |
USD 0.000013599 インスタンスあたり毎秒 |
インスタンスあたり月額 USD 35.25 |
|
Hosts and Container Protection |
USD 0.000013599 インスタンスあたり 1 秒あたり + USD 0.000000578 コアあたり 1 秒あたり |
USD 35.25 インスタンスあたり月額 + USD 1.5 コアあたり月額 |
サーバーレスセキュリティ
サーバーレス資産を有効にして承認すると、サーバーレス保護は、月間累積使用量に基づく従量課金の段階的価格設定を使用します。
|
月間累積使用量 |
価格 |
料金計算式 (U は日次使用量、単位はコア秒) |
|
第 1 段階:0~200,000,000 コア秒 |
USD 0.000003 コア秒あたり |
0.000003 × U (USD) |
|
第 2 段階:200,000,001~1,000,000,000 コア秒 |
USD 0.000002 / コア秒 |
|
|
第 3 段階:1,000,000,001~9,999,999,999,999 コア秒 |
USD 0.0000015(1 コア秒あたり) |
|
アプリケーション保護
アプリケーション保護の従量課金機能を有効化すると、システムはオンラインインスタンスの数を 1 分ごとにカウントし、インスタンスあたり 1 分ごとに 0.0002 米ドルを課金します。請求書は毎日精算されます。
悪意のあるファイル検出 SDK
不正なファイル検出 SDK の課金は、検出されたファイル数である検出数に基づいています。従量課金機能を有効にすると、1 日あたり USD 0.0002 / 検出 で課金されます。
Cloud Security Posture Management (CSPM)
クォータ:CSPM は、有料機能の測定単位としてクォータを使用します。インスタンスに対してスキャン、検証、または修正成功などの課金対象操作を実行すると、1 クォータ単位が消費されます。
たとえば、10 個のクラウドサービスがあり、各サービスに 15 個のインスタンスがある場合、5 つのチェック項目ですべてのインスタンスをスキャンすると、
10 × 15 × 5 = 750クォータ単位が消費されます。インスタンス:インスタンスとは、OSS バケットや ECS セキュリティグループなどの特定のクラウドリソースを指します。
チェック項目:チェック項目は無料と有料に分類されます。
無料チェック項目:設定のチェック 機能は、基本的なリスク検出のための一連の無料チェック項目を提供します。スキャンと検証は無制限に実行できます。クォータは修正が成功した場合にのみ消費されます。
重要2023 年 7 月 7 日より前に CSPM (旧称:クラウドサービス設定チェック) を承認したユーザーは、現在のサブスクリプションの有効期限が切れる前と更新時の両方で、元の Security Center エディションに対応する数の無料チェック項目 (Anti-virus Edition で 80+、アドバンストエディションで 90+、Enterprise/Ultimate Edition で 250+) に引き続きアクセスできます。
有料チェック項目:これらには、特定のエディションの購入または Cloud Security Posture Management サービスのアクティブ化が必要です。費用はエディション料金に含まれるか、クォータを消費します。
Security Center は 80 以上のチェック項目を無料で提供します。無料チェック項目のみを使用するスキャンは課金されません。推奨スキャンポリシーのチェック項目リストについては、「CSPM の推奨定期スキャンポリシー」をご参照ください。
CSPM は、サブスクリプション (前払い) と従量課金の課金方法をサポートしています。料金は次のとおりです:
サブスクリプション:価格 × 権限付与数 × 購入期間 (Security Center インスタンスのサブスクリプション期間に基づいて計算)。
承認
権限付与あたりの価格 (USD)
0–100,000
0.0009
100,001–500,000
0.00069
500,000 超
0.000625.
従量課金:消費された権限付与数に基づく段階的価格設定モデルを使用し、日次で決済されます。
権限付与数
価格
料金計算式 (Z は 1 日に使用されるクォータ数)
0~100,000
USD 0.0009 1 リクエストあたり
0.0009 × Z (USD)
100,001~500,000
リクエストあたり USD 0.0007
0.0009 × 100,000 + 0.0007 × (Z - 100,000) (USD)
500,000 超
USD 0.00045 1 リクエストあたり
0.0009 × 100,000 + 0.0007 × 400,000 + 0.00045 × (Z - 500,000) (USD)
脆弱性修正
脆弱性修正の従量課金機能を有効にすると、毎日 1修復あたり USD 0.3 が課金されます。 詳細については、「脆弱性修復試行のカウント方法」をご参照ください。
エージェントレス検出
エージェントレス検出スキャン料金
課金方法:従量課金。
課金サイクル:日次。
単価: USD 0.03/GB。
課金対象使用量:スキャンされたイメージの実際のデータ量に基づいて計算され、総ディスク容量ではありません。
ECS リソース使用料金
重要ホスト検出タスクを設定する際には、Retain Only At-risk Imageを選択することを推奨します。その後、システムはスキャン後にリスクのないイメージを自動的に削除して、ストレージコストを削減するためです。
イメージ料金:検出タスクはサーバーのイメージを作成します。イメージの使用容量と期間に基づいて課金されます。これらの料金は ECS によって請求されます。詳細については、「イメージの課金」をご参照ください。
Cloud Threat Detection and Response (CTDR)
CTDR の課金は、取り込まれたログの量と保存されたデータの量に基づいています。
サブスクリプション課金:
-
ログアクセストラフィック:段階的価格設定が使用されます。最小購入量は 100 GB/日で、ステップサイズは 100 GB/日です。価格は次のとおりです (X は 1 日に取り込まれるトラフィック):
-
X = 100 GB:1 日あたり 0.45 USD/GB。
-
200 GB <= X < 9,999,999,999 GB:1 日あたり 0.42 USD/GB。
-
-
Log Storage Capacity : 月額 1,000 GB あたり 100 USD。 最低 1,000 GB が必要で、ステップサイズは 1,000 GB です。
-
Intelligent Usage Analysis:
-
最小購入数量は 1 日あたり 100 GB です。購入数量は自動入力に対応しておらず、ログアクセストラフィック と一致する必要があります。
-
料金: 100 GBあたり1日につき USD 9.6。
説明使用量は毎日深夜にリセットされます。上限を超えると、システムは自動的にレート制限を適用します。
-
-
Number of Managed Instances:
-
最小購入数は月あたり 10 インスタンスで、ステップサイズは月あたり 10 インスタンスです。
-
1 インスタンスあたり月額 1.434 米ドル。
説明各インスタンスは 1 回のみカウントされます。重複したエントリは自動的に削除されます。
-
-
従量課金:料金は、製品からの累積日次ログトラフィックに基づいており、段階的価格設定モデルを使用します。最終的な日次請求額は、各使用量階層の料金の合計です。
重要最小課金単位は 1 GB です。データ量が 1 GB 未満の場合は、1 GB として請求されます。
ログ取り込みトラフィック階層
価格
料金計算式 (Y は 1 日に取り込まれるトラフィック、単位は GB)
1~10 (GB/日)
USD 2.20/GB
2.2 × Y (USD)
11~50 (GB/日)
USD 1.6/GB
2.2 × 10 + 1.6 × (Y - 10) (USD)
51~100 (GB/日)
USD 1.4/GB
2.2 × 10 + 1.6 × 40 + 1.4 × (Y - 50) (USD)
>100 (GB/日)
1.2 米ドル/GB
2.2 × 10 + 1.6 × 40 + 1.4 × 50 + 1.2 × (Y - 100) (USD)
ランサムウェア対策
料金は、バックアップファイルのサイズおよびその保存期間に基づきます。価格は、USD 0.00013/GB/hourです。
ログ管理
料金は、1日あたりのストレージ容量合計(GB)に基づきます。価格は、USD 7.2/1,000 GBです。
よくある質問
推奨ポリシーの変更
はい、可能です。
サーバーに割り当てられた保護レベルを変更するには、「ホストとコンテナのセキュリティ権限付与の管理」をご参照ください。
サーバーレス資産の権限付与バインディングを変更するには、「3.2. 承認済み資産のバインドまたはバインド解除」をご参照ください。
悪意のあるファイル検出 SDK の OSS ファイルのデフォルト検出ポリシーを変更するには、「悪意のあるファイル検出」をご参照ください。
CSPM の定期スキャンポリシーを変更するには、「チェックポリシーの設定と実行」をご参照ください。
エージェントレス検出のスキャンポリシーを変更するには、「エージェントレス検出」をご参照ください。
CTDR によって取り込まれるログタイプを変更するには、「CTDR へのサービスの接続」をご参照ください。
アプリケーション保護ポリシーのアクセス構成を変更するには、「保護ポリシー管理」をご参照ください。