Security Center は、脅威検出、脆弱性スキャン、ベースラインリスクチェックによってサーバーレス資産を保護します。このトピックでは、サーバーレス資産を Security Center に接続して保護を開始する方法について説明します。
サポートされている資産と機能
サポートされている資産タイプ
Security Center は、次のサーバーレス資産タイプをサポートしています:
ECI
マネージド ACK クラスター、専用 ACK クラスター、ACK Serverless クラスターから作成された Elastic Container Instance (ECI)
Container Compute Service (ACS) から作成された ECI インスタンス
Serverless App Engine (SAE) インスタンス
重要安定性の制約により、インスタンスタイプが 0.5 コア以下の SAE インスタンスは接続またはスキャンできません。
Elastic Container Instance (ECI) コンソールから直接作成された ECI インスタンスは、同期またはオンボーディングの対象外です。
Platform for AI (PAI) の Lingjun リソース
サポートされているセキュリティ機能
Security Center は、サーバーレス資産に対して 3 つのセキュリティ機能を提供します:
脅威検出:Web シェル (バックドア) ファイル、不審なネットワーク接続、異常なプロセス動作を検出します。サポートされているチェックの一覧については、「CWPP (クラウドワークロード) セキュリティアラートの概要」をご参照ください。
脆弱性スキャン: 脆弱性の修復 > 脆弱性管理 ページで、「公開された脆弱性」 の下にある数字をクリックして すでにサポートされている脆弱性 パネルを開くと、検出可能な脆弱性を表示できます。 脆弱性スキャンは定期的に実行されます。検出可能な脆弱性のリスト ページで最新のスキャン時刻を確認してください。 アプリケーションの脆弱性はスキャンのみ可能で、修正はサポートされていません。 リスクを排除するには、脆弱性の詳細にある修正の提案に基づいて、ソフトウェア アプリケーションを手動でアップグレードまたは変更してください。
ベースラインリスクチェック: 「Kubernetes (ECI) Pod の一般的な国際セキュリティのベストプラクティスベースライン」における「コンテナの root 実行の制限」や「カーネル機能を持つコンテナの禁止」などのベースラインリスクを検出し、処理します。ベースラインチェックは、スケジュールされたサイクルで実行されます。最新のチェック時間は、設定アセスメント ページで確認できます。サポートされているチェック項目については、「ベースラインチェック項目」をご参照ください。
Security Center は、接続されたサーバーレス資産をコンテナランタイムのステータスに基づいて分類します。サポートされる機能はインスタンスタイプによって異なります:
インスタンスタイプ | サポートされているセキュリティ機能 |
ECI | 脅威検出、脆弱性スキャン、ベースラインリスクチェック |
RunD コンテナインスタンス | 脅威検出 |
課金
サーバーレスセキュリティ保護機能は、従量課金の段階的価格設定を使用します。パブリックプレビューは 2024 年 7 月 31 日 (UTC+8) に終了しました。
課金方法:バインドされたサーバーコア数に実際の保護時間 (秒) を乗じて課金されます。
重要実際の保護期間は、クライアントのオンライン時間に基づいて計算されます。
課金サイクル:日次で課金されます。
価格:月間の累積使用量に基づいて段階的価格設定が使用されます。
月間累積使用量:
当日の月間累積使用量 = 前日までの月間累積使用量 (初日は 0) + 当日の使用量。
重要使用開始の最初の月は、統計期間はサービスを有効にした日からその月の終わりまでです。2 か月目以降、統計期間は暦月で、月の最初の日から最後の日までです。
例:初日、月間累積使用量は初日の使用量に等しいです。2 日目、月間累積使用量は初日の使用量 + 2 日目の使用量です。3 日目、月間累積使用量は初日の使用量 + 2 日目の使用量 + 3 日目の使用量、というようになります。
段階的価格:
月間累積使用量
価格
料金計算式 (U は 1 日の使用量 (コア秒))
Tier 1:0~200,000,000 コア秒
0.000003 USD/コア秒
0.000003 × U (USD)
Tier 2:200,000,001~1,000,000,000 コア秒
0.000002 USD/コア秒
このティアに初めて入った日:
0.000003 × 200,000,000 + 0.000002 × (U - 200,000,000) (USD)
それ以降の毎日:0.000002 × U (USD)
Tier 3:1,000,000,001~9,999,999,999,999 コア秒
0.0000015 USD/コア秒
このティアに初めて入った日:
0.000003 × 200,000,000 + 0.000002 × 800,000,000
+ 0.0000015 × (U - 1,000,000,000) (USD)
それ以降の日額料金:0.0000015 × U (USD)。
課金例:
シナリオ:20,000 コアのサーバーレス資産が 24 時間 (86,400 秒) オンラインであるとします。
1 日の使用量 (U) = 20,000 コア × 86,400 秒/日 = 1,728,000,000 コア秒。
初日の料金:
使用量の詳細:初日の月間累積使用量は初日の使用量に等しく、1,728,000,000 コア秒です。月間累積使用量は Tier 3 に達しています。料金は、使用量が初めて Tier 3 に入ったときのクロス階層課金ルールに基づいて計算されます。
初日のコスト計算:0.000003 (Tier 1 単価) × 200,000,000 + 0.000002 (Tier 2 単価) × 800,000,000 + 0.0000015 (Tier 3 単価) × (1,728,000,000 - 1,000,000,000) = 3,292 (USD)。
2 日目以降の料金:
使用量の詳細:初日に月間累積使用量が Tier 3 に達したため、2 日目から月末まで月間累積使用量は Tier 3 のままです。日額料金は Tier 3 の単価に基づいて計算されます。
コスト計算:日次コスト = 0.0000015 (Tier 3 単価) × (20,000 × 86,400) = 2,592 (USD)。
課金の停止
Security Center は、次の場合に検出と課金を直ちに停止します:
すべてのサーバーレス資産の課金を停止する場合:
[概要] ページの 従量課金サービスの有効化 エリアで、Serverless アセット のスイッチをオフにします。
アセットセンター > コンテナ資産 ページで、使用を停止する をクリックします。
Alibaba Cloud アカウントの支払いが延滞しています。
特定の資産の課金を停止する場合:
アセットセンター > コンテナ資産 ページで、対象のアセットから承認を解除します。 下記の手順 3.2 をご参照ください。
手順 1:ECI Pod への Security Center エージェントのインストール
ACK および ACS クラスターの ECI 資産では、保護を適用する前に、各 Pod に Security Center エージェントをインストールして実行する必要があります。
YAML の Pod 仕様にアノテーションを追加してエージェントをインストールします。アノテーションはクラスタータイプによって異なります。
ACK Serverless クラスター
Container Service for Kubernetes (ACK) コンソールにログインし、対象クラスターの管理ページに移動します。
左側のナビゲーションペインで、ワークロード > ポッド を選択し、YAML のリソースの作成 をクリックします。
YAML テンプレートで、
spec > template > metadataの下に次のアノテーションを追加します:annotations: k8s.aliyun.com/eci-aliyundun-enabled: 'true'YAML の例:
apiVersion: apps/v1 # 1.8.0 より前のバージョンでは apps/v1beta1 を使用します kind: Deployment metadata: name: nginx-deployment-basic labels: app: nginx spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: annotations: k8s.aliyun.com/eci-aliyundun-enabled: 'true' labels: app: nginx spec: # nodeSelector: # env: test-team containers: - name: nginx image: nginx:1.7.9 # 正確な に置き換えてください ports: - containerPort: 80 resources: limits: cpu: "500m"
YAML の代わりにイメージからリソースを作成する場合、上級 セクションで Pod のアノテーション k8s.aliyun.com/eci-aliyundun-enabled=true を追加します。詳細については、「イメージからステートレスアプリケーションを作成する」をご参照ください。

マネージド ACK クラスターまたは専用 ACK クラスター
ACK コンソールにログインし、クラスターの管理ページに移動します。Pod を ECI にスケジュールするために
ack-virtual-nodeコンポーネントをデプロイします。詳細については、「Schedule a pod to an ECI」をご参照ください。左側のナビゲーションペインで、ワークロード > ポッド を選択し、YAML のリソースの作成 をクリックします。サンプル YAML:
metadataの下:アノテーションk8s.aliyun.com/eci-aliyundun-enabled: "true"を追加しますspec > containersの下:環境変数ECI_CONTAINER_TYPE = sidecarを設定します
apiVersion: v1 kind: Pod metadata: name: test-aegis-alinux2-lifsea-x86 labels: eci: "true" annotations: k8s.aliyun.com/eci-aliyundun-enabled: "true" spec: containers: - name: sidecar image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7 command: - /bin/sh - -c args: - sleep inf env: - name: ECI_CONTAINER_TYPE value: sidecar - name: nginx image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7 command: - /bin/sh - -c args: - sleep inf
ACS クラスター
ACS コンソールにログインし、対象クラスターの管理ページに移動します。
左側のナビゲーションペインで、ワークロード > デプロイメント を選択し、YAML のリソースの作成 をクリックします。
YAML テンプレートで、
spec > template > metadataの下に次のアノテーションを追加します:annotations: security.alibabacloud.com/aliyundun-enabled: 'true'YAML の例:
apiVersion: apps/v1 # 1.8.0 より前のバージョンでは apps/v1beta1 を使用します kind: Deployment metadata: name: nginx-deployment-basic labels: app: nginx spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx alibabacloud.com/compute-class: general-purpose alibabacloud.com/compute-qos: default annotations: security.alibabacloud.com/aliyundun-enabled: 'true' spec: # nodeSelector: # env: test-team containers: - name: nginx image: anolis-registry.cn-zhangjiakou.cr.aliyuncs.com/openanolis/nginx:1.14.1-8.6 # 正確な に置き換えてください ports: - containerPort: 80 resources: limits: cpu: "500m"
イメージからリソースを作成する場合、上級 セクションで Pod アノテーション security.alibabacloud.com/aliyundun-enabled=true を追加します。詳細については、「イメージからリソースを作成する」および「ACS Pod の概要」をご参照ください。

手順 2:従量課金の有効化
現在の Security Center のエディションに合った手順を選択してください。
Free Edition または無料トライアルのユーザー
Security Center の購入ページに移動し、Alibaba Cloud アカウントでログインします。
購入方法 を [従量課金] に、Serverless アセット を 従量課金 に設定します。
カスタムアタッチ をクリックします。ダイアログボックスで、全量アタッチ または [特定のサーバー] を選択して、承認する資産を設定します。
重要カスタムバインドを設定しない場合、すべての資産にデフォルトで権限が付与され、新しい資産にも自動的に権限が付与されます。

Security Center の利用規約を読み、今すぐ注文 をクリックします。
注文が完了すると、Security Center は Running 状態の ECI インスタンスと SAE アプリケーションに自動的に接続し、権限管理の設定に基づいて権限をアタッチします。
有料エディションのユーザー (Anti-virus、Premium、Enterprise、または Ultimate)
Security Center コンソールにログインします。
左側のナビゲーションペインで、アセットセンター > コンテナ資産 を選択します。左上隅で、[中国本土] または [中国本土以外] から、アセットが配置されているリージョンを選択します。
サーバーレスアセット ページで、今すぐ有効にする をクリックします。または、[概要] ページの右側にある 従量課金サービスの有効化 エリアで Serverless アセット スイッチをオンにします。
確認ダイアログボックスで、カスタムアタッチ をクリックして承認するアセットを選択し、OK をクリックします。
重要カスタムバインドを設定しない場合、権限は次のロジックに従って付与されます: - 初回有効化: すべての資産にデフォルトで権限が付与され、新しい資産にも自動的に権限が付与されます。 - 再有効化: 以前に権限が付与された資産には権限が再アタッチされます。以前に ECI インスタンスまたは SAE アプリケーションに権限が付与されていなかった場合は、すべての資産にデフォルトで権限が付与され、新しい資産にも自動的に権限がアタッチされます。 - 支払い延滞の解消後: 以前に権限が付与された資産には、自動的に権限が再アタッチされます。
[セキュリティセンターサービスレベルアグリーメント]を選択し、次に今すぐ有効にするをクリックします。
手順 3:権限が付与された資産の管理
3.1 資産の同期
保護を有効化した後、最新の資産情報を同期して、Security Center エージェントが対象資産にインストールされて実行中であることを確認します。
Security Center コンソールにログインします。
左側のナビゲーションペインで、アセットセンター > サーバーレスアセット を選択し、最新のアセットの同期 をクリックします。セキュリティセンターが最新のサーバーレス資産情報を取得し、リストを更新します。同期には約 1 分かかります。

同期後、各アセットの クライアント 列を確認します。アイコンがグレー表示の場合は、ステップ 1 に従ってクライアントをインストールまたは修復し、アセットインスタンスを再起動します。再度 最新のアセットの同期 をクリックしてステータスを更新します。
緑:エージェントがオンラインで実行中です。権限をアタッチして保護を開始します。
グレー:エージェントがオフラインです (未インストール、ネットワークの問題、その他の理由)。権限をアタッチしても、セキュリティ機能は使用できません。

サーバーレスアセットインスタンスを作成または再起動した後、最新のアセットの同期 をクリックしてアセットリストを更新します。
3.2 権限のアタッチまたはデタッチ
Security Center エージェントがオンラインになったら、権限をアタッチして資産のセキュリティ保護を有効化します。保護が不要になった資産からは、権限をデタッチします。
保護範囲に応じて方法を選択してください:
方法 | 使用するタイミング | 効果 |
すべての資産を保護 | デフォルトのバインドがすでに適用されている場合 | すべての資産に権限を付与し、新しい資産にも自動的に権限を付与します |
特定の資産を保護 | 有効化時に [Custom Quota Binding] を使用する場合 | 対象資産のみを選択して保護します |
特定の資産を除外 | すべての資産がデフォルトでバインドされており、一部の資産では保護が不要な場合 | 保護が不要な資産から権限をデタッチします |
権限をアタッチまたはデタッチするには:
アセットセンター > コンテナ資産 ページで、資産リストの上にある[クォータ管理]のアタッチされていないインスタンスをクリックします。
権限付与 ダイアログボックスで、アタッチ または デタッチ を選択し、対象の資産を選択してから、OK をクリックします。今後、新しいサーバーレス資産を自動的に追加するには、新規アセットの自動アタッチ を選択します。

手順 4:セキュリティリスクの確認と対処
アセットが接続され、承認されると、セキュリティセンターはそのインスタンスに対するリアルタイムの脅威検出を開始します。脆弱性スキャンとベースラインリスクチェックは、それぞれのスケジュールされたサイクルで実行されます。最新のスキャン時刻は、[脆弱性管理] または 設定アセスメント ページで確認できます。
アセットセンター > コンテナ資産 ページで、リスクステータス 列を確認します。[リスクのあるインスタンス] ラベルは、アラート、脆弱性、またはベースラインリスクが検出されたことを示します。
アセット名をクリックするか、操作する 列の 表示 をクリックして、アセットのリスク詳細ページを開きます。
セキュリティアラート数、[脆弱性]、または ベースラインリスク数 カードをクリックすると、対応するリスク項目が表示されます。
アラートの処理: 操作する 列の 詳細 をクリックしてアラートを確認し、実際のリスクかどうかを判断します。その後、処理 をクリックします:
実際のリスク:脅威を隔離します。
実際のリスクではない、または後回しにできる:ホワイトリストに追加、無視、または手動処理済みとしてマークします。
脆弱性への対応: 脆弱性リスクの数 カードをクリックして、検出された脆弱性を表示します。 検出されたすべての脆弱性は、攻撃者に悪用される可能性のある弱点であるため、迅速に対応してください。 アプリケーションの脆弱性は、ワンクリック修復をサポートしていません。脆弱性の詳細に記載されている指示に従って手動で修正してください。 詳細については、「脆弱性の表示と対応」をご参照ください。
ベースラインリスクの処理: ベースラインリスク数 カードをクリックして、検出されたベースラインリスクを表示します。 操作する 列の 詳細 をクリックしてリスクの詳細と強化の提案を確認し、リスクを修復するかホワイトリストに登録するかを決定します。 リスク詳細ページの [リスク処理リスト] に 修復 ボタンが表示される場合は、セキュリティセンターでベースラインリスクを直接修復します。