クラウドサービス構成チェック機能を使用する前に、セキュリティセンターにクラウドサービスを追加してください。 クラウドセキュリティポスチャ管理(CSPM)は、Alibaba Cloud サービス、サードパーティクラウドサービス、および Kubernetes clusters のチェックをサポートしています。 潜在的なリスクとセキュリティの脆弱性を特定し、クラウドサービスのセキュリティと安定性を向上させるための修正案を提供します。
背景
詳細については、「クラウドサービス構成チェックのチェックルール、リスクレベル評価、およびリスク修正」をご参照ください。
前提条件
CSPM を承認済みであること。 クラウドサービス構成チェックのすべてのチェック項目を使用するには、従量課金で CSPM を有効にするか、十分な CSPM スキャンクォータを購入してください。
サポートされているクラウドサービスを表示する
セキュリティセンターは現在、CSPM 用に Alibaba Cloud およびサードパーティクラウドプラットフォームからアセットを追加することをサポートしています。 セキュリティセンターコンソールで、サポートされているクラウドサービスとクラウドプラットフォームを表示できます。
セキュリティセンターコンソール にログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
[CSPM] ページで、[クラウドサービス構成リスク] タブをクリックします。
チェック項目リストの上で、[クラウドサービス] を選択し、[Alibaba Cloud] またはサードパーティのクラウドプラットフォーム([Tencent Cloud] や [AWS] など)をクリックして、サポートされているクラウドサービスを表示します。
Alibaba Cloud サービスを追加する
セキュリティセンターは、アカウントにリンクされている Alibaba Cloud サービスを自動的に同期します。 手動操作は必要ありません。
サードパーティクラウドサービスを追加する
Tencent Cloud、AWS、Azure、および Huawei Cloud のアセットを CSPM 構成チェックのためにセキュリティセンターに追加できます。
サードパーティクラウドサービスを追加する ために RAM アカウントを作成する場合は、[手動構成] を選択し、[権限の説明] で [CSPM] を選択する必要があります。
自己管理型 Kubernetes クラスターを追加してコンポーネントをインストールする
1. 自己管理型 Kubernetes クラスターを追加する
最初に、セキュリティセンターに自己管理型 Kubernetes クラスターを追加するためのリージョン制限やパラメーター構成などの前提条件について学習します。
構成チェックのためにクラスターを追加する手順は次のとおりです。
ページで、右上隅にある [ポリシー管理] をクリックします。 次に、[ポリシー管理] パネルで、[コンテナクラスターの構成] タブをクリックし、[セルフビルドクラスターアクセス] をクリックします。
セキュリティセンターの [Ultimate] エディションを使用している場合は、 ページの [セルフビルドクラスターアクセス] ボタンをクリックすることもできます。
このエントリポイントから追加されたクラスターは、[コンテナクラスターの構成] タブのクラスターリストに同期されます。
[セルフビルド K8s クラスターへのアクセス] パネルで Kubernetes アクセス構成を完了した後、Generate Command をクリックします。 次に、クラスターが配置されているサーバーにログインし、text-001.yaml ファイルを作成し、生成されたコマンドをファイルにコピーして保存し、
kubectl apply -f text-001.yamlコマンドを実行して、クラスターの追加プロセスを完了します。
2. コンポーネントをインストールする
前の手順で追加されたクラスターは、[コンテナクラスターの構成] タブのリストに表示され、[コンポーネントステータス] は [インストールされていません] と表示されます。 Kubernetes セキュリティポスチャ管理(KSPM)チェックを実行するには、コンポーネントをインストールする必要があります。
[コンテナクラスターの構成] タブで新しく追加されたクラスターを見つけ、[コンポーネントアクセス] をクリックします。
[スキャンコンポーネントアクセス] パネルで、生成されたコマンドをコピーします。 次に、クラスターが配置されているサーバーにログインし、生成されたコマンドを deploy.yaml ファイルにコピーして保存します。 最後に、
kubectl apply -f deploy.yamlコマンドを実行して、コンポーネントの追加を完了します。
Webhook 機能を有効にしている場合は、クラスターが配置されているサーバーに留まり、生成されたコマンドを webhook.yaml ファイルにコピーして保存し、
kubectl apply -f webhook.yamlコマンドを実行して、クラスター構成の更新に対する自動チェックを有効にします。重要Webhook 機能は現在、ポッドの増分チェックのみをサポートしています。 構成が正しくない場合、または例外が発生した場合、クラスターリソースの作成に影響を与える可能性があります。
コンポーネントが追加されると、[コンポーネントステータス] に [オンライン] と表示され、コンポーネントが正常にインストールされたことを示します。
アセットを同期する
新しいクラウドサービスまたは構成の更新がある場合は、セキュリティセンターコンソールで最新の情報に更新できます。
[クラウド 製品] ページで、現在の Alibaba Cloud アカウント、クロスアカウント、および追加されたサードパーティアカウントのクラウドサービスを同期します。
[コンテナクラスターの構成] タブで、セキュリティセンターに追加されているクラスターを同期します。
