セキュリティの脆弱性は、データ侵害や業務の中断につながる可能性のある一般的な攻撃ベクトルです。Security Center は脆弱性スキャンを実行して、資産内の Linux Software Vulnerability、Windows System Vulnerability、Web-CMS Vulnerability、Application Vulnerability、および 緊急の脆弱性 を検出します。これにより、攻撃が発生する前にこれらの脆弱性を特定して修正し、システム全体のセキュリティを向上させることができます。
脆弱性スキャンのメカニズム
Security Center は 2 つの検出方法を使用します:
ソフトウェア構成分析 (パッシブ検出): Security Center クライアントは、サーバーからソフトウェアのバージョンと依存ライブラリに関する情報を収集し、脆弱性データベースと比較します。このプロセスはソフトウェアのメタデータのみを分析し、業務システムのパフォーマンスには影響しません。
Web スキャナー (アクティブ検証): Web スキャナーは、特定の概念実証 (POC) リクエストをアプリケーションサービスに送信して、攻撃動作をシミュレートし、脆弱性を確認します。このメソッドは、リモートコマンド実行や SQL インジェクションなどのリスクの高い脆弱性を検出できます。すべてのリクエストは無害なプローブであり、システムに損害を与えることはありません。
説明現在、Web スキャナーは、シンガポールのデータセンターでホストされているグローバル (中国を除く) リージョンの資産ではサポートされていません。
範囲
Subscription
エディション
手動脆弱性スキャン
自動 (定期的) 脆弱性スキャン
Enterprise、Ultimate
すべて
Advanced
アプリケーションの脆弱性 を除くすべての脆弱性。
Basic、Value-added Plan、Anti-virus
緊急の脆弱性 のみ。
Linux Software Vulnerability、Windows System Vulnerability、Web-CMS Vulnerability
Pay-as-you-go
保護レベル
手動脆弱性スキャン
自動 (定期的) 脆弱性スキャン
Host Protection、Hosts and Container Protection
すべて
Unprotected、Antivirus
緊急の脆弱性のみ。
Linux Software Vulnerability、Windows System Vulnerability、Web-CMS Vulnerability
ネットワークホワイトリストの設定
Web スキャナーがサーバーにアクセスしてアクティブ検証 (POC) を実行できるようにするには、Security Center のスキャン IP アドレス範囲 47.110.180.32/27 (47.110.180.32 から 47.110.180.63) をセキュリティグループとネットワークファイアウォールのホワイトリストに追加します。
Security Center のスキャン IP アドレスをホワイトリストに追加しない場合、Web スキャナーのアクティブ検証リクエストがブロックされる可能性があります。これにより、アプリケーションの脆弱性や緊急の脆弱性の検出が妨げられたり、リクエストが誤って攻撃としてフラグ付けされたりする可能性があります。
POC 検証リクエストには、アプリケーションおよび緊急の脆弱性検出に使用される補助ドメイン名 s0x.cn が含まれる場合があります。これによりアラートが生成された場合は、アラートを無視するか、アラートの ホワイトリストルール を作成できます。
セキュリティグループの設定
サーバーが Alibaba Cloud ECS インスタンスの場合は、次のパラメーターでセキュリティグループを設定します。詳細については、「セキュリティグループの管理」をご参照ください。
方向: インバウンド
承認ポリシー: 許可
プロトコルタイプ: TCP
ポート範囲: 1-65535
ソース: 47.110.180.32/27
ファイアウォールのホワイトリストの設定
サーバーが Alibaba Cloud Web Application Firewall を使用している場合は、次のパラメーターでホワイトリストを設定します。詳細については、「特定の要求を許可するホワイトリストルールを設定する」をご参照ください。
一致フィールド: IP
論理演算子: に属する
一致コンテンツ: 47.110.180.32/27
スキップするモジュール: すべて
脆弱性スキャンの実行
Security Center は 2 つのスキャン方法を提供します:
手動スキャン: これを使用して、サーバーの脆弱性ステータスをすぐに評価します。
自動 (定期的) スキャン: 自動化された継続的な脆弱性監視のために、定期的なタスクを設定します。
スキャンを開始すると、システムはスキャンタスクを生成し、バックグラウンドで実行します。[タスク管理] でスキャンの進行状況と結果を表示できます。
手動スキャン
コンソールにログイン
Security Center コンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、資産が配置されているリージョン (Chinese Mainland または Outside Chinese Mainland) を選択します。
スキャンの実行
脆弱性管理 ページで、Quick Scan をクリックしてすべてのサーバーをスキャンします。表示される 脆弱性スキャン ダイアログボックスで、スキャンする脆弱性の種類を選択し、OK をクリックします。
説明特定のサーバーをスキャンするには、ホストアセット ページに移動し、目的のサーバーを選択します。ページ下部のパネルで Security Check をクリックし、Vulnerabilities を選択します。
自動 (定期的) スキャン
自動スキャンでは、2 つの異なるスケジューリング方法が使用されます:
システムデフォルトサイクル (設定不可)
適用可能な脆弱性: Linux Software Vulnerability、Windows System Vulnerability、およびWeb-CMS Vulnerability。
デフォルトのスキャンサイクル:
Subscription
Advanced、Enterprise、およびUltimate: 1日に1回。
Basic、Value-added Plan、Anti-virus: 2日に1回。
Pay-as-you-go
Host ProtectionおよびHosts and Container Protection: 1 日 1 回。
UnprotectedおよびAntivirus: 2 日に 1 回。
ユーザー定義のサイクル:
対象の脆弱性: Application Vulnerability および 緊急の脆弱性。
適用可能なエディション:
Subscription:Advanced、Enterprise、Ultimate。
Pay-as-you-go: Host ProtectionおよびHosts and Container Protection。
次のようにスキャンを設定します:
コンソールにログイン
Security Center コンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、資産が配置されているリージョン (Chinese Mainland または Outside Chinese Mainland) を選択します。
脆弱性管理 ページで、右上隅の 脆弱性管理の設定 をクリックします。必要に応じて設定を構成します:
設定項目
説明
脆弱性スキャンスイッチ
さまざまな脆弱性タイプ (Linux Software Vulnerability、Windows System Vulnerability、Web-CMS Vulnerability、Application Vulnerability、および 緊急の脆弱性) のスキャンを有効または無効にします。スイッチを有効にした後、右側の [管理] をクリックして、その脆弱性タイプのスキャン範囲 (有効なサーバー) を指定できます。
YUM/APT ソースの設定
有効にすると、Linux 脆弱性の修正に Alibaba Cloud 公式の YUM/APT ソースが優先され、修正の成功率が大幅に向上します。
緊急脆弱性スキャンサイクル
緊急脆弱性スキャンタスクの実行頻度を設定します。
デフォルトのスキャンウィンドウ:
中国リージョン:
00:00:00 (UTC+8)から07:00:00 (UTC+8)。グローバル (中国を除く) リージョン:
00:00:00 (UTC+7)から07:00:00 (UTC+7)。
適用可能なエディション/保護レベル:
サブスクリプション: Advanced、Enterprise、およびUltimate。
従量課金: Host Protection と Hosts and Container Protection。
アプリケーションの脆弱性スキャンサイクル
アプリケーション脆弱性スキャンタスクの実行頻度を設定します。
デフォルトのスキャンウィンドウ:
中国リージョン:
00:00:00 (UTC+8)から07:00:00 (UTC+8)。グローバル (中国を除く) リージョン: 24 時間以内に異なる時間にスキャンを実行するスタッガードスケジューリングメカニズムを使用します。
適用されるエディション/保護レベル:
エディション:EnterpriseおよびUltimate。
従量課金: Host Protection および Hosts and Container Protection。
無効な脆弱性の自動削除
無効な脆弱性のデータクリーンアップ期間を設定します。
システムは、再発せず、長期間処理されていない脆弱性を「無効」としてマークし、自動的に「処理済み」リストにアーカイブします。設定された 無効な脆弱性の自動削除 のクリーンアップ期間が経過すると、システムはそれらを永久に削除して情報ノイズを減らします。
説明Security Center が将来同じタイプの脆弱性を検出した場合でも、新しいアラートが生成されます。
脆弱性スキャンレベル
スキャンする脆弱性のリスクレベルを設定します。システムは、選択されたレベルに一致する脆弱性のみをスキャンして報告します。
脆弱性ホワイトリストの設定
処理する必要がないことを確認した特定の脆弱性 (特別なビジネスニーズや許容可能なリスクなど) をホワイトリストに追加します。これらの脆弱性は、後続のスキャンで自動的に無視されます。
説明脆弱性ホワイトリストルールを追加した後、脆弱性管理の設定 パネルの 脆弱性ホワイトリストの設定 で管理 (編集または削除) できます。
スキャンタスクの表示
脆弱性管理 ページで、右上隅の タスク管理 をクリックします。
タスクの [操作] 列で 詳細 をクリックして、Affected Servers、Successful Servers、Failed Servers などのスキャン統計を表示します。
正常にスキャンされたサーバーの場合、[ステータス] 列にはスキャンされた脆弱性の種類が表示されます。スキャンが失敗した場合、[ステータス] 列には失敗の理由が表示されます。
脆弱性の表示と処理
脆弱性管理 ページで、目的の脆弱性タイプのタブに移動し、特定の脆弱性の詳細を表示します。次に、指示に従って修正します。修正の詳細については、「脆弱性の表示と処理」をご参照ください。
アプリケーションの脆弱性 と 緊急の脆弱性 は、コンソールでのワンクリック修復をサポートしていません。サーバーにログインし、脆弱性の詳細の提案に従って手動で修正する必要があります。
サービスモデル | サービスエディション / 保護レベル | 説明 |
Subscription | Enterprise、 Ultimate | Linux Software Vulnerability、Windows System Vulnerability、および Web-CMS Vulnerability の修復をサポートします。 |
Advanced | Linux Software Vulnerability および Windows System Vulnerability の修復をサポートします。 | |
Basic、 Value-added Plan、 Anti-virus | 重要 ワンクリック修復機能を有効にするには、Vulnerability Fix 付加価値サービスを購入する必要があります。 詳細については、「脆弱性修正 (サブスクリプション) の購入」または「脆弱性修正 (従量課金) の購入」をご参照ください。 Linux Software Vulnerability および Windows System Vulnerability の修復をサポートします。 | |
Pay-as-you-go | すべての保護レベル |
クォータと制限
タスク管理: 手動スキャンタスクを作成した後、タスク管理 ページで スキャンの停止 をクリックしてスキャンを手動で停止するまで 15 分待つ必要があります。
スキャン期間: スキャンの完了に必要な時間は、資産の数と脆弱性の複雑さによって異なります。スキャンは通常 30 分以内に完了します。
よくある質問
スキャンの動作と結果
同じサーバーが同じ脆弱性の複数のインスタンスを報告するのはなぜですか?
アプリケーションの脆弱性検出は、特定の実行中のプロセスインスタンスを対象とします。サーバーが同じ脆弱性を持つプロセスの複数のインスタンス (たとえば、異なるポートで開始された 2 つの同一の Tomcat サービス) を実行している場合、システムはプロセスインスタンスごとに個別の脆弱性を報告します。脆弱なソフトウェアがインストールされていても、対応するプロセスが実行されていない場合、脆弱性は検出されません。
Fastjson などの脆弱性のスキャン結果が異なることがあるのはなぜですか?
このような脆弱性の検出は、スキャン中にそのコンポーネント (JAR パッケージなど) がランタイム状態にロードされるかどうかによって異なります。動的ロードモデルでは、ビジネスロジックが実際に脆弱なコンポーネントを呼び出した場合にのみ脆弱性を検出できます。そのため、スキャン結果は時間によって異なる場合があります。
説明これらのタイプの脆弱性の検出精度を向上させるには、定期的または複数のスキャンを実行してください。
クライアントがオフラインになった後も、コンソールにそのホストの脆弱性レコードが表示されるのはなぜですか?
クライアントがオフラインになった後、検出された脆弱性レコードは Security Center コンソールに保持されます。ただし、これらのレコードは自動的に無効になり、修正、検証、クリアなどの操作は実行できません。脆弱性の自動無効化期間は次のとおりです:
重要すべてのデータは、Security Center サービスが有効期限切れになり、7 日以内に更新されない場合にのみ永久に削除されます。
Linux Software Vulnerability と Windows System Vulnerability: 3 日後に無効になります。
Web-CMS Vulnerability: 7 日後に無効になります。
Application Vulnerability: 30 日後に無効になります。
緊急の脆弱性: 90 日後に無効になります。
パフォーマンスへの影響とセキュリティ
緊急の脆弱性に対する脆弱性スキャンまたはアクティブ検証 (POC) は、業務システムに影響しますか?
通常、影響はありません。Security Center のアクティブ検証 (POC) は、1 つまたは 2 つの無害なプローブ要求のみを送信し、いかなる形式の攻撃や破壊的な操作も実行しません。まれに、ターゲットアプリケーションが非常に脆弱で、予期しない入力を処理できない場合に、最小限のリスクが存在する可能性があります。
脆弱性スキャンが時々メモリ不足 (OOM) エラーを引き起こすのはなぜですか?
Security Center クライアントには、設定されたメモリ制限 (デフォルトで 200 MB) があります。スキャンがこの制限を超えると、システムのリソースを節約するために、システムの OOM メカニズムが検出プロセス (ALiSecCheck) を積極的に終了します。
説明この制限は通常、
aegisRtap0という名前のコントロールグループ (cgroup) によって管理されます。関連する OOM 情報は dmesg ログにあります。この動作は正常であり、システム全体のメモリ不足を示すものではありません。OOM エラーは cgroup のメモリ制限によって発生し、ユーザーの介入は必要ありません。
この OOM エラーは cgroup のメモリ制限によって引き起こされるものであり、システム全体がメモリ不足であることを示すものではありません。
スキャン範囲と機能
脆弱性スキャンの範囲は何ですか?
スキャンは、システム層とアプリケーション層の両方をカバーします:
システムレベル: Linux ソフトウェアの脆弱性と Windows システムの脆弱性。
重要Windows システムの脆弱性スキャンは、毎月のセキュリティ更新プログラムパッチのみをサポートします。
アプリケーションレベル: Web-CMS の脆弱性、アプリケーションの脆弱性、および緊急の脆弱性。
Security Center が検出できる脆弱性のリストを表示するにはどうすればよいですか?
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、[脆弱性スキャン] をクリックします。概要セクションで、「すでにサポートされている脆弱性」統計カードを見つけます。
カード上の脆弱性の総数をクリックしてリストページを開き、サポートされているすべての脆弱性とその詳細を表示できます。
Security Center は Elasticsearch などの特定の脆弱性の検出をサポートしていますか?
はい。コンソールの Application Vulnerability ページで、Elasticsearch などのサービスの脆弱性の検出結果を表示できます。
説明この機能は、Subscription サービス (Enterprise および Ultimate) および Pay-as-you-go サービス (Host Protection および Hosts and Container Protection) でのみ利用できます。現在のエディションがこの機能をサポートしていない場合は、サービスを スペックアップ してください。