サーバーがデータセンター、ハイブリッドクラウド、または Alibaba Cloud Virtual Private Cloud (VPC) にデプロイされている場合、サーバーはインターネット経由でアクセスできないため、保護のためにサーバーを Alibaba Cloud Security Center に直接追加することはできません。このシナリオでは、プロキシサーバーを設定してサーバーを Security Center に追加できます。サーバーにはホストとコンテナーが含まれます。このトピックでは、プロキシアクセス機能を使用してサーバーを Security Center に追加する方法について説明します。
シナリオ
Security Center に直接追加できない VPC
VPC に複数のアクセス制限があり、VPC 内の Elastic Compute Service (ECS) インスタンスを Security Center に直接追加できない場合は、プロキシアクセス機能を使用して ECS インスタンスを Security Center に追加して保護できます。
データセンター
ハイブリッドクラウド
制限事項
プロキシサーバーとして設定できるのは Linux サーバーのみです。
プロキシアクセス機能を使用してサーバーを Security Center に追加する場合、Security Center が提供するほとんどの機能を使用できます。ただし、次の表に記載されている機能は使用できません。Security Center でサポートされているすべての機能の詳細については、「機能と特徴」をご参照ください。
準備
インターネットにアクセスできる 1 台以上のサーバーをプロキシサーバーとして準備します。プロキシサーバーが次の要件を満たしていることを確認してください:
十分なネットワーク帯域幅が予約されていること。プロキシサーバーは、Security Center に追加するサーバーに接続するために 10 Kbit/s の帯域幅を予約する必要があります。たとえば、50 台のサーバーをプロキシサーバーに接続する場合は、プロキシサーバーが 500 Kbit/s の帯域幅を予約していることを確認してください。
プロキシサーバーに接続するサーバーからのアクセスを許可するために、プロキシサーバーでポート 80、ポート 443、およびポート 8080 が有効になっていること。
複数のプロキシサーバーを使用する場合は、接続にドメイン名を使用することをお勧めします。事前にプロキシサーバーのドメイン名を申請し、そのドメイン名がプロキシサーバーの IP アドレス、ロードバランシング用の IP アドレス、または仮想 IP アドレスに解決できることを確認してください。
重要単一の 8 コア、16 GB のプロキシサーバーは、最大 6,000 のホストまたはコンテナーに接続できます。ビジネス要件に基づいてプロキシサーバーの仕様と数量を計画してください。
接続にドメイン名を使用しない場合は、複数のプロキシサーバーを使用してプロキシクラスターを作成し、接続の安定性を確保することをお勧めします。たとえば、パブリック IP アドレスを使用してプロキシサーバーを Security Center に接続する場合、複数のプロキシサーバーを使用してプロキシクラスターを作成できます。
ハイブリッドクラウドシナリオでは、サードパーティのクラウドサーバーを Alibaba Cloud VPC に接続します。
ステップ 1: プロキシクラスターの作成
Security Center コンソールにログインします。上部のナビゲーションバーで、管理する資産のリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
タブで、クラスターの新規作成 をクリックします。
クラスターの新規作成 ダイアログボックスで、クラスター名、アドレス、説明の各パラメーターを設定します。次に、[OK] をクリックします。
連絡先アドレス: プロキシサーバーの IP アドレスまたはドメイン名を入力します。プロキシクラスターが作成されると、クラスター内のホストとコンテナーは、連絡先アドレス パラメーターに指定したアドレスを使用してプロキシサーバーに接続します。
重要連絡先アドレス パラメーターを IP アドレスに設定した場合、設定できるプロキシサーバーは 1 台のみです。Security Center に追加する必要があるホストまたはコンテナーの数が少ない場合 (5 台など)、この方法を使用することをお勧めします。
複数のプロキシサーバーを設定する場合は、連絡先アドレス パラメーターをドメイン名に設定することをお勧めします。ドメイン名がプロキシサーバーの IP アドレス、ロードバランシング用の IP アドレス、または仮想 IP アドレスに解決できることを確認してください。
プロキシクラスターを作成した後は、クラスターの名前やアドレスを変更することはできません。わかりやすいクラスター名と到達可能なアドレスを入力することをお勧めします。
ステップ 2: プロキシサーバーのデプロイ
タブで、作成したクラスターを見つけ、操作する 列の プロキシのデプロイ をクリックします。
プロキシサーバーのデプロイ パネルで、デプロイモードを選択し、設定を完了します。
プロキシサーバーに Security Center エージェント がインストールされていて、エージェントがオンラインの場合は、クイックデプロイを選択できます。プロキシサーバーに Security Center エージェント がインストールされていない場合は、手動デプロイを選択する必要があります。
クイックデプロイ
クイックデプロイ を選択した場合は、[サーバーの選択] セクションからプロキシサーバーとして設定する Linux サーバーを選択し、[OK] をクリックします。
手動デプロイ
手動のデプロイ を選択した場合は、画面の指示に従って手動デプロイコマンドをコピーする必要があります。次に、管理者アカウントを使用してプロキシサーバーにログインし、コマンドラインインターフェイスで手動デプロイコマンドを実行します。
デプロイから約 5 分後、 タブでプロキシサーバーのステータスを表示できます。
プロキシサーバーをデプロイした後、サーバーはプロキシ機能のみを提供できます。プロキシサーバーに Security Center エージェント がインストールされていない場合、Security Center が提供する保護機能はサポートされません。保護機能には、脆弱性検出とベースラインチェックが含まれます。Security Center を使用してプロキシサーバーを保護する場合は、プロキシサーバーに Security Center エージェント をインストールする必要があります。詳細については、「クライアントのインストール」をご参照ください。
ステップ 3: サーバーをプロキシクラスターに接続する
プロキシクラスターを作成してプロキシサーバーをデプロイした後、クライアントとしてサーバーをクラスターに接続できます。これにより、サーバーはプロキシサーバー経由で Security Center に追加され、保護されます。
単一の 8 コア、16 GB のプロキシサーバーは、最大 6,000 のホストまたはコンテナーに接続できます。
サーバーを直接選択するか、サーバーでインストールコマンドを実行してサーバーをプロキシクラスターに接続するかにかかわらず、バッチで最大 500 台のホストをプロキシクラスターに接続できます。バッチ間の間隔は 1 分より長くする必要があります。
タブで、作成したクラスターを見つけ、操作する 列の クライアントにアクセスする をクリックします。
クライアントにアクセスする パネルで、アクセスモードを選択し、設定を完了します。
プロキシクラスターに接続するサーバーに Security Center エージェント がインストールされていて、エージェントがオンラインの場合は、サーバーを直接選択できます。プロキシクラスターに接続するサーバーに Security Center エージェント がインストールされていない場合は、サーバーでインストールコマンドを実行できます。
サーバーの選択
資産リストで、プロキシクラスターに接続するサーバーを選択し、[OK] をクリックします。
インストールコマンドの実行
[インストールコマンドの生成] に移動する をクリックします。
タブで、[インストールコマンドの作成] をクリックします。
インストールコマンドの追加 ダイアログボックスで、パラメーターを設定し、[OK] をクリックします。次の表にパラメーターを示します。
パラメーター
説明
有効期限
インストールコマンドの有効期限が切れる時刻。
サービスプロバイダー
サーバーのプロバイダー。
デフォルトグループ
サーバーを追加するグループ。Security Center コンソールの [ホスト] ページでグループを表示できます。
OS
サーバーのオペレーティングシステム。
イメージシステムの作成
デフォルト値の いいえ を保持します。このパラメーターは、サーバーのイメージを作成するかどうかを指定します。
プロキシの選択
自作のプロキシクラスター を選択し、サーバーを接続するプロキシクラスターを選択します。
インストールコマンドリストで、生成されたインストールコマンドを表示してコピーします。
管理者アカウントを使用してサーバーにログインし、サーバーのオペレーティングシステムに基づいてインストールコマンドを実行します。
インストールコマンドの実行後 5 分待機します。その後、接続済みのクライアント 列の数字をクリックして、プロキシクラスターに接続されているサーバーのリストを表示できます。
ステップ 4: (オプション) プロキシクラスターポリシーの設定
デフォルトでは、[管理センターにデータを返送] 送信モードが使用され、ネットワーク帯域幅と送信頻度は制限されません。このモードでは、プロキシサーバーによって収集されたデータが Security Center に送信されます。送信モードを変更したり、ネットワーク帯域幅と送信頻度を制限したりするには、次の手順を実行します:
タブで、作成したクラスターを見つけ、操作する 列の プロキシ設定 をクリックします。
プロキシ設定 ダイアログボックスで、パラメーターを設定し、[OK] をクリックします。
次の送信モードがサポートされています: 管理センターへのバックフロー および バックフローせずに指定されたディレクトリにキャッシュする。
送信モード
説明
管理センターへのバックフロー
データはリスクと脅威の検出のために Security Center に送信されます。
このモードを選択すると、プロキシサーバーと Security Center 間の通信のネットワーク帯域幅と送信頻度を手動で設定できます。有効な値:
無制限: ネットワーク帯域幅と送信頻度は制限されません。
カスタム: ビジネス要件に基づいて、ネットワーク帯域幅と送信頻度の上限を指定できます。
重要プロキシクラスターのネットワーク帯域幅または送信頻度の上限を設定する場合、必要な帯域幅が合計帯域幅の 60% を超えず、通信プロセスに必要なリソースが合計リソースの 60% を超えないようにしてください。
バックフローせずに指定されたディレクトリにキャッシュする
データは、リスクと脅威の検出のためにデータセンターまたは VPC にキャッシュされます。特定のデータ型のみがサポートされます。
このモードを選択すると、関連するログはデフォルトでプロキシサーバーの /usr/local/aegis/proxy/log/export.log ファイルにキャッシュされます。キャッシュディレクトリは変更できます。
説明キャッシュディレクトリには最大 10 GB のデータを保存できます。上限を超えると、システムは最も古いログを周期的に上書きします。
次のステップ
プロキシクラスターに関する情報の表示
Security Center コンソールにログインします。上部のナビゲーションバーで、管理する資産のリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
タブで、次の操作を実行します:
プロキシクラスターの基本情報の表示
プロキシクラスターの名前、アドレス、接続されているサーバーの数、およびステータスを表示できます。プロキシクラスターは次のいずれかの状態になります:
オンライン: プロキシクラスター内の少なくとも 1 台のプロキシサーバーがオンラインです。
オフライン: プロキシクラスターにプロキシサーバーが存在しないか、プロキシクラスター内のすべてのプロキシサーバーがオフラインです。
プロキシサーバーのリストの表示
プロキシクラスターを見つけ、サーバー基本情報 列にある
アイコンをクリックします。 表示されたパネルで、基本情報を表示するプロキシサーバーを見つけ、資産情報列にあるサーバーの上にポインターを移動します。 [エージェントステータス] は、Security Center エージェント がオンラインであるかどうかを示します。 
接続されているサーバーのリストの表示
プロキシクラスターを見つけ、接続済みのクライアント 列の数字をクリックします。接続されている各サーバーに関する次の情報を表示できます: 資産情報、グループ情報、オペレーティングシステムの種類、サービスプロバイダー、およびリージョン。サーバーに追加されたタグと、サーバーにインストールされている Security Center エージェントのステータスも表示できます。
プロキシクラスターの削除
プロキシアクセス機能を使用して追加されたサーバーを保護するために Security Center を使用する必要がなくなった場合は、次の操作を実行してプロキシクラスターを削除できます:
追加されたサーバーをプロキシクラスターから切断します。
タブで、プロキシクラスターを見つけ、操作する 列の クライアントにアクセスする をクリックします。
クライアントにアクセスする パネルで、選択したすべてのサーバーの選択を解除し、[OK] をクリックします。
この操作により、追加されたすべてのサーバーがプロキシクラスターから切断されますが、サーバーから Security Center エージェント はアンインストールされません。サーバーでコマンドを実行して Security Center エージェント をアンインストールできます。詳細については、「コマンドを実行して Security Center エージェントをアンインストールする」をご参照ください。
プロキシサーバーを削除します。
プロキシサーバーはオフラインの場合にのみ削除できます。aegis プロキシプロセスを停止して、プロキシサーバーをオフラインにすることができます。
管理者アカウントを使用してプロキシサーバーにログインします。次に、次のコマンドを実行して aegis プロキシプロセスを停止します:
ps -ef | grep aegis kill PID # /usr/local/aegis/proxy/SasClientProxy プロセスの ID説明プロセスを停止する権限がない場合は、クライアント保護機能を無効にします。詳細については、「[エージェント設定] タブで機能を有効にする」をご参照ください。
タブで、プロキシ クラスターを見つけ、サーバー基本情報 列の
アイコンをクリックします。サーバー基本情報 パネルで、各プロキシサーバーの [操作] 列にある 削除 をクリックします。
プロキシクラスターからすべてのプロキシサーバーを削除した後、プロキシクラスターリストでプロキシクラスターを見つけ、操作する 列の 削除 をクリックします。
プロキシサーバーのバージョンのアップグレード
接続パフォーマンスを向上させるために、Security Center はプロキシサーバーの最新バージョンを継続的に検出し、表示します。ビジネス要件に基づいて、プロキシサーバーを最新バージョンにアップグレードするかどうかを決定できます。
Security Center コンソールにログインします。上部のナビゲーションバーで、管理する資産のリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
タブで、プロキシクラスターを探し、サーバー基本情報 列の
アイコンをクリックします。サーバー基本情報 パネルで、バージョンをアップグレードしたいプロキシサーバーを見つけ、操作する 列の アップグレード をクリックします。
アップグレード ボタンが淡色表示されている場合、プロキシサーバーは最新バージョンを実行しているか、Security Center エージェント がオフラインです。Security Center エージェント がオフラインの場合は、エージェントがオフラインである理由をトラブルシューティングする必要があります。エージェントがオンラインになった後、再度バージョンをアップグレードしてください。詳細については、「Security Center エージェントがオフラインである理由のトラブルシューティング」をご参照ください。
よくある質問
Security Center プロキシはクロスアカウントインストールをサポートしていますか?
ECS インスタンスは、別の Alibaba Cloud アカウントのプロキシクラスターを使用して Security Center に接続することはできません。
Security Center のマルチアカウントセキュリティ管理機能を使用して、資産のオンボーディングなどのセキュリティ設定を一元管理し、複数の Alibaba Cloud アカウントにわたるセキュリティリスクを処理できます。詳細については、「マルチアカウント管理機能の使用」をご参照ください。