Security Center によるサーバーレスアセットの保護方法 - Security Center

Alibaba Cloud のサーバーレス環境でビジネスを運営している場合は、Security Center のサーバーレスアセット保護機能を使用してアセットを保護できます。この機能には、サーバーレスアセットのアラート検出、脆弱性スキャン、ベースラインチェックが含まれます。このトピックでは、Security Center がサーバーレスアセットを追加し、それらにセキュリティ保護を提供する方法について説明します。

機能

サポートされているアセット

Elastic Container Instance (ECI)（ACK マネージドクラスター、専用クラスター、およびサーバーレスクラスターによって作成されたもの）。
Container Compute Service (ACS) を介して作成された ECI インスタンス。
Serverless App Engine (SAE) の ECI インスタンス。

セキュリティ機能

サーバーレスアセット保護機能は、次のセキュリティ機能を提供します。

アラート検出：この機能は、Webshell、異常なネットワーク接続、疑わしいプロセスなど、サーバーレスアセットで生成された一般的なアラートを検出し、管理できるようにします。詳細については、「コンテナ環境のアラート」をご参照ください。
[リスクガバナンス] > [脆弱性] ページで、すでにサポートされている脆弱性 の下の数字をクリックすると、検出可能な脆弱性のリスト パネルでサポートされている脆弱性を表示できます。
この機能はアプリケーションの脆弱性を検出しますが、修正はしません。セキュリティの脅威に対処するには、脆弱性の詳細に記載されている修復の提案に基づいて、ソフトウェアを手動でアップグレードするか、構成を変更する必要があります。
ベースラインチェック：この機能を使用すると、チェック項目を使用して検出されたサーバーレスアセットのベースラインリスクを特定し、処理できます。たとえば、Kubernetes (ECI) Pod のセキュリティに関する国際的に合意されたベストプラクティス ベースラインには、ルートコンテナの許可を最小限にする や 機能が割り当てられたコンテナの許可を最小限にする などのチェック項目が含まれています。検出可能な項目の詳細については、「ベースライン」をご参照ください。

Security Center は、追加されたサーバーレスアセットを、コンテナランタイムステータスに基づいて異なるインスタンスタイプに分類します。次の表は、各インスタンスタイプでサポートされているセキュリティ機能の概要を示しています。

インスタンスタイプ	サポートされているセキュリティ機能
ECI	アラート検出脆弱性スキャンベースラインリスクチェック
RunD コンテナインスタンス	アラート検出

課金ルール

サーバーレスアセット保護機能のパブリックプレビューは、2024年7月31日 (UTC + 08:00) に終了します。その後は、無料トライアルは利用できなくなります。この機能を使用するには、Security Center コンソールで 従量課金方式を使用して機能を購入 する必要があります。詳細については、このトピックの 2. 従量課金を有効にする をご参照ください。

課金の開始

サーバーレスアセット保護機能を購入し、必要な承認を完了すると、機能を使用できるようになります。 Security Center エージェントがオンラインになっている、機能に追加されたアセットに対して、従量課金方式に基づいて課金されます。料金は 1 コア秒あたり 0.000003 米ドルです。システムは、毎日追加されたアセットのコア数を計算し、翌日請求書を生成します。詳細については、「課金の概要」をご参照ください。

課金の停止

システムは、次のシナリオで、サーバーレスアセット保護機能に追加されたサーバーレスアセットのチェックを停止し、課金を停止します。

すべてのサーバーレスアセットの課金が停止される
- Security Center コンソールの概要[サーバーレスアセット保護][従量課金制機能] ページで、セクションののスイッチをオフにします。
- Security Center コンソールの [アセット] > [サーバーレスアセット] ページで、[一時停止] をクリックします。
- 現在の Alibaba Cloud アカウントに支払い遅延。
特定のサーバーレスアセットの課金が停止される
Security Center コンソールの [アセット] > [サーバーレスアセット] ページで、特定のアセットをサーバーレスアセット保護機能から削除します。詳細については、このトピックの 3.2 アセットのバインドまたはバインド解除 をご参照ください。

1. ECI ポッドに Security Center エージェントをインストールして起動する

ACK マネージドクラスターと専用クラスター、ACS クラスター、または ACK サーバーレスクラスターで作成された ECI を使用する場合は、それらのインスタンスに Security Center エージェントをインストールして起動する必要があります。これにより、サーバーレスアセット保護機能のセキュリティ機能を利用できます。

次の方法を使用して、ECI インスタンスに Security Center エージェントをインストールして起動できます。

Serverless Kubernetes クラスター

ACK コンソールにログインし、クラスターの詳細ページに移動します。左側のナビゲーションウィンドウで、[ワークロード] > [デプロイメント] を選択します。[Pods] ページで、[YAML から作成] をクリックします。YAML テンプレートで、spec > template > metadata を選択し、annotations パラメーターを追加して、パラメーターを k8s.aliyun.com/eci-aliyundun-enabled: "true" に設定します。

YAML テンプレートの例：

apiVersion: apps/v1 # 1.8.0 より前のバージョンでは apps/v1beta1 を使用します
kind: Deployment
metadata:
  name: nginx-deployment-basic
  labels:
    app: nginx
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      annotations:
        k8s.aliyun.com/eci-aliyundun-enabled: 'true' // Security Center エージェントを有効にするアノテーション
      labels:
        app: nginx
    spec:
    #  nodeSelector:
    #    env: test-team
      containers:
      - name: nginx
        image: nginx:1.7.9 # 正確な <image_name:tags> に置き換えてください
        ports:
        - containerPort: 80
        resources:
          limits:
            cpu: "500m"

イメージを使用してリソースを作成する場合は、[詳細設定] ステップの Annotations パラメーターに k8s.aliyun.com/eci-aliyundun-enabled キーを追加し、値を true に設定します。詳細については、「イメージを使用してステートレスアプリケーションを作成する」をご参照ください。

ACK マネージドクラスターまたは専用クラスター

ACK コンソールにログインし、クラスターの詳細ページに移動して ack-virtual-node コンポーネントをデプロイし、ポッドを Elastic Container Instance にスケジュールします。詳細については、「ポッドを Elastic Container Instance にスケジュールする」をご参照ください。

クラスタの詳細ページの左側のナビゲーションウィンドウで、[ワークロード] > [デプロイメント] を選択します。[Pods] ページで、[YAML から作成] をクリックします。YAML テンプレートで、metadata を選択し、annotations パラメーターを追加して、パラメーターを k8s.aliyun.com/eci-aliyundun-enabled: "true" に設定します。spec > containers を選択し、env 環境変数を構成します。name フィールドを ECI_CONTAINER_TYPE に、value フィールドを sidecar に設定します。

YAML テンプレートの例：

apiVersion: v1
kind: Pod
metadata:
  name: test-aegis-alinux2-lifsea-x86
  labels:
    eci: "true"
  annotations:
    k8s.aliyun.com/eci-aliyundun-enabled: "true" // Security Center エージェントを有効にするアノテーション
spec:
  containers:
  - name: sidecar
    image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7
    command:
    - /bin/sh
    - -c
    args:
    - sleep inf
    env:
    - name: ECI_CONTAINER_TYPE
      value: sidecar
  - name: nginx
    image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7
    command:
    - /bin/sh
    - -c
    args:
    - sleep inf

ACS クラスター

Container Compute Service コンソールのターゲットクラスター管理ページの左側のナビゲーションウィンドウで、[ワークロード] > [デプロイメント] をクリックし、[YAML から作成] をクリックし、YAML テンプレートの spec > template > metadata の下に annotations パラメーターを追加し、security.alibabacloud.com/aliyundun-enabled: 'true' に設定します。詳細については、「ACS ポッドの概要」および「YAML テンプレートを使用する」をご参照ください。

YAML テンプレートの例：

apiVersion: apps/v1 # 1.8.0 より前のバージョンでは apps/v1beta1 を使用します
kind: Deployment
metadata:
  name: nginx-deployment-basic
  labels:
    app: nginx
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
        alibabacloud.com/compute-class: general-purpose
        alibabacloud.com/compute-qos: default
      annotations:
         security.alibabacloud.com/aliyundun-enabled: 'true' // Security Center エージェントを有効にするアノテーション
    spec:
    #  nodeSelector:
    #    env: test-team
      containers:
      - name: nginx
        image: anolis-registry.cn-zhangjiakou.cr.aliyuncs.com/openanolis/nginx:1.14.1-8.6 # 正確な <image_name:tags> に置き換えてください
        ports:
        - containerPort: 80
        resources:
          limits:
            cpu: "500m"

イメージからリソースを作成する場合は、[詳細設定] でポッドアノテーション security.alibabacloud.com/aliyundun-enabled=true を追加できます。リソースの作成方法の詳細については、「YAML テンプレートを使用する」をご参照ください。

2. 従量課金を有効にする

Basic エディションおよび無料トライアルのユーザー無料トライアル

Security Center の Basic エディションまたは 無料トライアル を使用している場合は、サーバーレスアセット保護機能を個別に購入できます。

Security Center 購入ページにアクセスし、Alibaba Cloud アカウントでログインします。
購入ページで、[課金方式] パラメーターを [従量課金] に、[サーバーレスアセット保護] パラメーターを [はい] に設定します。
[カスタムクォータバインディング] をクリックします。 [クォータ管理] ダイアログボックスで、[すべてのサーバー] または [特定のサーバー] を選択して、すべてのアセットまたは特定のアセットを保護します。
重要
カスタムバインディングを実行しない場合、デフォルトですべてのアセットがバインドされ、新しいアセットは自動的にバインドされます。
[Security Center 利用規約] を読んで選択し、[今すぐ注文] をクリックします。

Security Center は、アカウント内のすべてのサーバーレスアセットを [サーバーレスアセット] ページに自動的に同期し、[保護クォータ] の構成に基づいてサーバーレスアセットを機能に追加します。

その他のユーザー

Security Center の次のいずれかの有料エディション (Anti-virus、Advanced、Enterprise、Ultimate) を使用している場合も、サーバーレスアセット保護機能を購入できます。

Security Center コンソールにログインします。コンソールの左上隅で、保護対象のアセットが配置されているリージョン ( 中国または 全世界 (中国を除く) ) を選択します。
左側のナビゲーションウィンドウで、アセットセンター > サーバーレスアセット を選択します。
[サーバーレスアセット] ページで、[今すぐ有効化] をクリックします。
または、[概要] ページの [従量課金機能] セクションで、サーバーレスアセット保護 のスイッチをオンにします。
確認ダイアログボックスで、[カスタムクォータバインディング] をクリックして、ターゲットサーバーレスアセットのクォータを構成し、[OK] をクリックします。
重要
カスタムバインディングを実行しない場合、システムは次のロジックに基づいてサーバーレスアセットをバインドします。
- サーバーレスアセット保護機能を購入したことがない場合は、購入時にアカウント内のすべてのサーバーレスアセットが機能に追加され、新しいアセットが自動的に追加されます。
- 機能を1回以上購入したことがある場合は、以前に追加された ECI インスタンスが自動的に再追加されます。以前に ECI または SAE インスタンスが追加されていない場合は、新しい購入後にアカウント内のすべてのサーバーレスアセットが含まれ、その後、新しいアセットが自動的に追加されます。
- Alibaba Cloud アカウントに支払い遅延があり、サーバーレスアセット保護機能を購入した場合、支払い遅延を解決すると、以前に追加されたサーバーレスアセットは変更されません。
表示されるダイアログボックスで、[Security Center (従量課金) 利用規約を読んだ上で同意します。] を確認して選択し、[今すぐ有効化] をクリックします。

3. バインドされたアセットを管理する

アセットのバインド：SecurityCenter エージェントがオンラインでバインドされているサーバーレスアセットのみが、サーバーレスアセット保護機能を使用できます。
アセットのバインド解除：保護する必要のないアセットのバインドを解除できます。

3.1. アセットを同期する

サーバーレスアセット保護機能を有効にした後、最新の資産情報を同期して、保護対象の資産に Security Center エージェントがインストールされ、起動されていることを確認する必要があります。

Security Center コンソールにログインします。コンソールの左上隅で、保護対象のアセットが配置されているリージョン ( 中国または 全世界 (中国を除く) ) を選択します。
左側のナビゲーションウィンドウで、アセットセンター > サーバーレスアセット を選択し、[アセットの同期] をクリックします。
Security Center は最新のサーバーレスアセットに関する情報を取得し、アセットリストを更新します。
説明
情報の更新には1分かかります。
[アセット] > [サーバーレスアセット] ページで、管理するサーバーレスアセットを見つけ、[エージェント] 列のアイコンの色を確認します。
- 緑：エージェントは オンライン です。アセットがバインドされると、サーバーレスアセット保護機能を使用できます。
- グレー： エージェントがインストールされていないか、ネットワークが不安定なため、エージェントは オフライン です。アセットがバインドされても、セキュリティ保護機能は使用できません。
  このトピックの 1. ECI ポッドに Security Center エージェントをインストールして起動する を参照して、対応するアセットの Security Center エージェントを確認してインストールし、インスタンスを再起動します。
サーバーレスアセットインスタンスを作成または再起動した後、[アセット] [サーバーレスアセット] ページで、[アセットの同期] をクリックして、最新の資産情報を Security Center に同期します。

3.2. アセットのバインドまたはバインド解除

アセットの Security Center エージェントがオンラインになったら、アセットをバインドしてサーバーレスアセット保護機能を使用できます。保護する必要のないアセットのバインドを解除できます。

[アセット] > [サーバーレスアセット] ページで、[クォータを消費しないインスタンス] の下の [クォータ管理] をクリックします。
[クォータ管理] ダイアログボックスで、操作タイプに [追加] または [削除] を選択し、サーバーレスアセットを選択して、[OK] をクリックします。
新しいサーバーレスアセットを機能に自動的に追加する場合は、[新規アセットを自動追加] を選択します。

4. セキュリティリスクを表示して処理する

サーバーレスアセットが Security Center に追加され、サーバーレスアセット保護機能によって保護されると、Security Center はアセットで生成されたアラートをリアルタイムで検出し、指定された間隔で脆弱性検出とベースラインチェックを実行します。最新の検出またはチェック時刻は、脆弱性管理 または ベースライン検査 ページで確認できます。

セキュリティリスクに対処するには、次の手順に従います。

[アセット] > [サーバーレスアセット] ページで、必要なアセットを見つけ、リスクステータス 列でセキュリティステータスを確認します。この列に リスクあり と表示されている場合は、アセットでアラート、脆弱性、またはベースラインリスクが検出されています。
アセット名または [操作] 列の表示をクリックして、アセットのセキュリティリスクに関する情報を表示します。
表示されるページで、セキュリティアラート数、脆弱性リスクの数、ベースラインリスク数 をクリックして、各タイプのセキュリティリスクを表示します。
アラートを処理します。
処理するアラートを見つけ、[操作] 列の詳細をクリックして、アラートに関する情報を表示します。アラートが実際のリスクを示しているかどうかを確認できます。アラートを処理するには、[操作] 列の処理をクリックします。
アラートが実際のリスクに対応している場合は、処理方法として [隔離] を選択します。アラートに対処する必要がない場合、または無視する場合は、処理方法として [ホワイトリストに追加]、[無視]、または [手動で処理済み] を選択します。
脆弱性を処理します。
脆弱性リスクの数 をクリックして、アセットで検出された脆弱性を表示します。
脆弱性は攻撃者に悪用される可能性があるため、検出された脆弱性に迅速に対処することが重要です。サーバーレスアセット保護機能は、アプリケーションの脆弱性の迅速な修正をサポートしていません。代わりに、脆弱性修正機能を使用して、これらの脆弱性を効果的に解決します。
ベースラインリスクを処理します。
ベースラインリスク数 をクリックして、アセットで検出されたベースラインリスクを表示します。処理するベースラインリスクを見つけ、[操作] 列の詳細をクリックして、リスクの詳細とセキュリティ強化の提案を表示します。ベースラインリスクを処理するか、ベースラインリスクをホワイトリストに登録するかを決定できます。
Security Center コンソールでは、特定のベースラインリスクのみを修正できます。ベースラインリスクの詳細ページの [リスク] リストに [修正] ボタンが表示されている場合は、Security Center コンソールでベースラインリスクを直接修正できます。