クラウドセキュリティ態勢管理 (CSPM) は、自動化されたリスクチェック、ベースラインスキャン、攻撃パス分析を通じて、クラウド資産全体のセキュリティリスクの発見と管理を支援します。この機能は、クラウド製品の設定ミスやサーバー設定の欠陥などのセキュリティ問題を検出し、これらのリスクを修復するための推奨事項を提供します。
ユースケース
クラウド資産に対するセキュリティチェックの実行
シナリオ:すべてのクラウドリソースに対してセキュリティチェックを実行するために、クラウド製品設定リスクチェックとベースラインリスクチェックの組み合わせを使用できます。
手順:
初期評価:100 以上の無料のチェック項目を使用して、クラウド製品とサーバーの初期リスクスキャンを実行します。
詳細なスキャンと修復:有料版 (従量課金またはサブスクリプション) を有効にすると、すべてのチェック項目を使用して詳細なスキャンを行い、検出されたリスクを修復できます。
コンプライアンスまたは内部基準への準拠
シナリオ:MLPS 2.0 や組織の内部セキュリティベースライン要件など、特定のセキュリティ基準を満たすために、ベースラインリスクチェック機能を使用して、コンプライアンス監査の自動化と継続的なモニタリングができます。
手順:この機能には、MLPS 2.0 や CIS などの主要な基準に対応したコンプライアンスチェックパッケージが組み込まれており、カスタムポリシーもサポートしているため、自動化されたコンプライアンス監査に最適なオプションです。
内部攻撃パスの分析とブロック
シナリオ:攻撃パス分析機能を使用して、攻撃者が侵害されたリソースから他の重要な資産へ横展開するために利用する可能性のあるパスを分析し、ブロックします。
手順:この機能は、散在する設定リスクをインテリジェントに結びつけ、完全な攻撃パスを可視化します。例:
パブリックアクセス可能な ECS→高権限の RAM ロールにバインド→すべてのコア OSS バケットを制御可能。
コア機能
クラウド設定リスクチェック
CSPM 機能は、クラウドアセットの設定をスキャンして、過度に寛容な ECS セキュリティグループのルールやパブリックにアクセス可能な OSS バケットなどの設定ミスによって引き起こされるセキュリティ脆弱性やコンプライアンスの不備を迅速に発見し、修正します。
以下の図は、そのワークフローを示しています。詳細については、「クラウド製品設定リスクチェック」をご参照ください。
[System Baseline Risks]チェック
System Baseline Risks 機能は、業界標準およびセキュリティ仕様に基づいてホスト (サーバー) オペレーティングシステムを詳細にチェックし、脆弱なパスワード、安全でない設定、または重要なパッチの欠落などの問題を特定して修正することで、コンプライアンス要件を満たすのに役立ちます。
以下の図は、そのワークフローを示しています。詳細については、「ベースラインリスクチェック」をご参照ください。
攻撃パス分析
Attack Path は、付与された RAM ロールを介して ECS インスタンスが OSS バケットを制御するような、クラウド製品間のアクセスパスを包括的にスキャン・分析し、その結果を視覚化して提供します。これらの結果は、さまざまなクラウドサービス間の関連性や潜在的なリスクを明確に理解し、不要なアクセス権限を特定し、悪用される可能性のある弱点を発見するのに役立ちます。
以下の図は、そのワークフローを示しています。詳細については、「攻撃パス分析」をご参照ください。
制限事項
リージョン制限
[Chinese Mainland]
サポート対象リージョン
リージョン名 | リージョン ID |
China (Fuzhou) | cn-fuzhou |
China (Qingdao) | cn-qingdao |
China (Beijing) | cn-beijing |
China (Zhangjiakou) | cn-zhangjiakou |
China (Hohhot) | cn-huhehaote |
China (Ulanqab) | cn-wulanchabu |
China (Hangzhou) | cn-hangzhou |
China (Shanghai) | cn-shanghai |
China (Shenzhen) | cn-shenzhen |
China (Heyuan) | cn-heyuan |
China (Guangzhou) | cn-guangzhou |
China (Chengdu) | cn-chengdu |
China (Nanjing) | cn-nanjing |
China (Hong Kong) | cn-hongkong |
China (Hangzhou) Finance | cn-hangzhou-finance |
China (Beijing) Finance | cn-beijing-finance-1 |
China (Shanghai) Finance | cn-shanghai-finance-1 |
China (Shenzhen) Finance | cn-shenzhen-finance-1 |
China (Beijing) GovCloud | cn-north-2-gov-1 |
China (Heyuan) Cloud Box | cn-heyuan-acdr-1 |
リージョン固有の製品制限
製品名 | サポート対象外リージョン |
ECS | cn-wulanchabu-acdr-ut-1 |
RAM | cn-hangzhou-acdr-ut-1 |
AnalyticDB for PostgreSQL | cn-qingdao |
NAS | cn-shanghai-finance-1 |
Lingjun Intelligent Computing Service | cn-huhehaote, cn-chengdu-ant, cn-wulanchabu-acdr-1, cn-shanghai-finance-1, cn-hangzhou-acdr-ut-1 |
Message Queue for Apache RocketMQ 4.0 | cn-guangzhou, cn-heyuan-acdr-1 |
[Outside Chinese Mainland]
サポート対象リージョン
リージョン名 | リージョン ID |
Global | global-virtual |
Korea (Seoul) | ap-northeast-2 |
Singapore | ap-southeast-1 |
Malaysia (Kuala Lumpur) | ap-southeast-3 |
Indonesia (Jakarta) | ap-southeast-5 |
Philippines (Manila) | ap-southeast-6 |
Thailand (Bangkok) | ap-southeast-7 |
Saudi Arabia (Riyadh) | me-central-1 |
US (Virginia) | us-east-1 |
US (Silicon Valley) | us-west-1 |
UAE (Dubai) | me-east-1 |
Germany (Frankfurt) | eu-central-1 |
UK (London) | eu-west-1 |
Japan (Tokyo) | ap-northeast-1 |
India (Mumbai) | ap-south-1 |
リージョン固有の製品制限
製品名 | サポート対象外リージョン |
ActionTrail | ap-southeast-2 |
RDS | ap-southeast-2 |
RAM | ap-southeast-2 |
AnalyticDB for PostgreSQL | cn-qingdao |
Microservices Engine | me-east-1 |
PolarDB-X | ap-northeast-1 |
Log Service (SLS) | ap-southeast-2 |
API Gateway | ap-southeast-2 |
Data Transmission Service | ap-southeast-2 |
Message Queue for Apache RocketMQ | ap-southeast-2 |
製品バージョンの制限
製品名 | サポート対象外バージョン |
RDS | MySQL 5.1 および 5.5 は、高可用性設定チェック (ACS_RDS_DBInstanceHAConfig) をサポートしていません。 |
課金
課金の概念
オーソリゼーション:有料のクラウドセキュリティ態勢管理 (CSPM) 機能の課金単位です。アセットインスタンスに対して課金対象の操作 (スキャン、検証、または修復) が 1 回成功するごとに、1 オーソリゼーションを消費します。
例えば、10 個の製品があり、それぞれに 15 個のインスタンスがあるとします。5 つのチェック項目を使用してすべてのインスタンスをスキャンする場合、タスクは
10 * 15 * 5 = 750オーソリゼーションを消費します。アセットインスタンス:特定のクラウドリソース (OSS バケットや ECS セキュリティグループなど) です。
チェック項目:チェック項目は、無料と有料に分類されています。
無料チェック項目: 設定のチェック 機能は、基本的なリスクを把握するためのいくつかの無料チェック項目を提供します。スキャンと検証は無制限に実行でき、ライセンスは修復にのみ消費されます。
重要2023 年 7 月 7 日より前に CSPM (旧称:クラウド製品設定チェック) を承認したユーザーは、現在のエディションの有効期限が切れるまで、Security Center のエディション (Anti-Virus:80+、Advanced:90+、Enterprise/Ultimate:250+) に対応する数の無料チェック項目を引き続き利用できます。
有料チェック項目: 対応するエディションを購入するか、別途Cloud Security Posture Management サービスを有効にする必要があります。料金はエディションのサービスに含まれているか、利用枠が消費されます。
課金の詳細については、「課金」をご参照ください。
課金の詳細
Security Center は、サブスクリプションと従量課金の 2 つの課金モデルを提供しています。これらのモデルは、クラウド製品設定リスクチェック、システムベースラインリスクチェック、攻撃パス分析機能に対応しています。以下の表は、各モデルの機能サポートと課金の詳細を説明しています。
有料モデルを選択する前に、Free Edition を使用して基本的なチェックを行うか、7 日間の無料トライアルを申請して Enterprise Edition の全機能を評価することができます。
無料版の機能: Security Center の無料版は、設定のチェック 機能の無料チェック項目の検出と検証をサポートしていますが、リスク修復または Attack Path 機能をサポートしていません。
7 日間の無料トライアル (サブスクリプション Enterprise Edition):Enterprise Edition のすべての機能にアクセスできます。詳細については、以下の Enterprise Edition のサービス説明をご参照ください。
サブスクリプション
この前払いオプションは、長期的で安定したセキュリティニーズを持つユーザーに適しており、コスト管理に役立ちます。サービスエディション (Advanced、Enterprise、Ultimate など) または CSPM 付加価値サービスを購入することで、対応する検出および保護機能を利用できます。
Advanced、Enterprise、または Ultimate Edition の購入
重要アンチウイルス版または付加価値サービス版をご利用で、CSPM 付加価値サービスを購入していない場合、無料のチェック項目を使用して 設定のチェック を検出および検証できます。ただし、[リスクの修復] または Attack Path 機能はサポートされていません。
機能
機能の詳細
オーソリゼーション消費
[設定のチェック]
チェック項目:無料のチェック項目。
説明Ultimate Edition は、追加で KSPM チェック項目をサポートします。
操作:検出と検証をサポートしています。修復はサポートしていません。
オーソリゼーションを消費しません。
[System Baseline Risks]
チェック項目:
Advanced Edition:脆弱なパスワードのチェック項目のみをサポートします。
Enterprise Edition:コンテナセキュリティのチェック項目を除く、すべてのチェック項目をサポートします。
Ultimate Edition:すべてのチェック項目をサポートします。
操作:スキャン、検証、修復をサポートしています。
エディション料金に含まれており、オーソリゼーションを消費しません。
[Attack Path]
サポート対象外
N/A
CSPM 付加価値サービスの購入
重要サービスエディションと CSPM 付加価値サービスの両方を購入した場合、機能のサポートは次のようになります:
アドバンスト版、エンタープライズ版、またはアルティメット版: System Baseline Risks でサポートされているチェック項目と操作は、現在のエディションによって異なります。設定のチェック および Attack Path 機能はエディションによる影響を受けず、その詳細を次の表に示します。
ウイルス対策および付加価値サービスエディション:System Baseline Risks、設定のチェック、およびAttack Path 機能は製品エディションの影響を受けません。 以下の表が適用されます。
機能
機能の詳細
オーソリゼーション消費
[設定のチェック]
チェック項目:すべてのチェック項目 (無料 + 有料)。
操作:検出、検証、修復をサポートしています。
無料のチェック項目:成功した修復ごとに 1 オーソリゼーションを消費します。
有料のチェック項目:成功したスキャン、検証、または修復ごとに 1 オーソリゼーションを消費します。
[System Baseline Risks]
チェック項目:すべてのチェック項目。
操作:検出、検証、修復をサポートしています。
成功したスキャン、検証、または修復ごとに 1 オーソリゼーションを消費します。
[Attack Path]
サポート対象
この機能は有料の CSPM サービスに組み込まれた特典であり、追加のオーソリゼーションを消費しません。
従量課金
この従量課金プランは、短期間での利用や動的なスケーリングなど、柔軟性が求められるシナリオに最適です。CSPMの従量課金機能を購入することで、対応する検知および保護機能を利用できるようになります。
Host and Container Security の従量課金機能のみを購入した場合、無料のチェック項目を使用して 設定のチェック を検出および検証できますが、[リスク修復] および Attack Path 機能はサポートされていません。
機能 | 機能の詳細 | オーソリゼーション消費 |
[設定のチェック] | チェック項目:すべてのチェック項目 (無料 + 有料)。 操作:検出、検証、修復をサポートしています。 |
|
[System Baseline Risks] | チェック項目:すべてのチェック項目。 操作:検出、検証、修復をサポートしています。 | 成功したスキャン、検証、または修復ごとに 1 オーソリゼーションを消費します。 |
[Attack Path] | サポート対象 | この機能は有料の CSPM サービスに組み込まれた特典であり、追加のオーソリゼーションを消費しません。 |
利用開始
サービスの購入と有効化:Security Center の購入。
製品機能の使用:
よくある質問
課金とオーソリゼーション
サブスクリプションモデルから従量課金モデルに切り替えることはできますか?
直接切り替えることはできません。サブスクリプションインスタンスの有効期限が切れるのを待つか、解約してから、従量課金サービスを有効にする必要があります。
重要解約またはサブスクリプションの有効期限が切れた後、未使用のオーソリゼーションはゼロにリセットされ、引き継ぐことはできません。
オーソリゼーションを使い切った場合はどうなりますか?
サブスクリプションモデル:残りのオーソリゼーションがスキャンタスク全体を完了するのに不十分な場合、タスクは途中で停止します。システムには、オーソリゼーションがなくなる前に完了したチェックの結果のみが表示されます。エディションをアップグレードするか、追加のオーソリゼーションを購入するには、「アップグレード」をご参照ください。
従量課金モデル:オーソリゼーションの制限はありません。システムは実際の使用量に基づいて継続的に課金するため、すべてのタスクが最後まで実行されます。
機能の使用方法
セキュリティを強化するために CSPM を使い始めるにはどうすればよいですか?
有効化と承認:CSPM サービスを有効にし、プロンプトに従ってクラウド製品の管理権限を付与します。
チェック対象資産の追加:チェックしたいクラウド製品インスタンス (ECS や RDS など) を Security Center に追加します。
スキャンと修復:チェックポリシーを設定してスキャンを実行します。スキャン完了後、リスクレポートと修復提案に基づいてセキュリティを強化します。
Security Center を使用してデータベースの設定のセキュリティを向上させるにはどうすればよいですか?
Security Center は、2 つの方法でデータベースのセキュリティを強化します:
クラウドセキュリティ態勢管理 (CSPM):
検出範囲:外部設定のリスクをチェックします。
チェック例:アクセス制御のホワイトリストの許可範囲が広すぎないか、自動バックアップとログ監査が有効になっているかなどをチェックします。
ベースラインリスクチェック:
検出範囲:データベースのホストサーバー上の内部のセキュリティ欠陥をチェックします。
チェック例:データベースのログインアカウントが脆弱なパスワードを使用していないか、サーバーの設定がセキュリティのベストプラクティスに従っているかなどをチェックします。
解約と無効化
クラウドセキュリティ態勢管理 (CSPM) 機能を無効にするにはどうすればよいですか?
Free Edition:何もする必要はありません。Free Edition は限定的な検出機能のみを提供し、料金やオーソリゼーションの消費は発生しません。
サブスクリプションのエディション:注文管理センターで、「エディションのアップグレードまたはダウングレード」の指示に従って、Security Center のエディションを CSPM 機能を含まないものにダウングレードします。
従量課金版: 概要 ページの Pay-as-you-go エリアで、Cloud Security Posture Management スイッチをオフにします。