データセキュリティとは、デジタル情報をそのライフサイクル全体にわたって、不正なアクセス、使用、変更、損失から保護することです。クラウドにおいて、データセキュリティはビジネスにとって重要な生命線であり、クラウドプロバイダーの全体的なセキュリティ能力を測る最も重要な指標です。サイバー脅威が世界的に進化し拡大し続ける中、データ保護は最重要事項です。Alibaba Cloud は、お客様のデータのセキュリティを確保することに尽力しています。このトピックでは、Elastic Desktop Service Enterprise がデータ保護、データの可用性、データの機密性を通じてデータセキュリティをどのように確保するかについて説明します。
データ保護
転送セキュリティ
クラウドコンピューターのポリシーは、ファイル転送のセキュリティ制御を提供し、クラウドコンピューターとローカルデバイス間のファイル転送に伴うリスクを最小限に抑えます。
|
表示セキュリティ
画面キャプチャ防止とウォーターマークのポリシーを設定して、クラウドコンピューターの表示セキュリティを制御できます。
Anti-screenshot 機能は、画面キャプチャや録画によるデータ漏えいを防ぐのに役立ちます。
例:建築設計事務所が、設計図の不正コピーを防ぐために、クラウドコンピューターに画面キャプチャ防止ルールを有効にします。その結果、誰もローカルデバイスの画面キャプチャツールを使用して、クラウドコンピューターの画面のスクリーンショットを撮ったり、録画したりすることはできません。
Watermark 機能は、データ損失防止のために使用され、抑止力と監査ツールの両方として機能します。
例:広告会社がクラウドコンピューターでウォーターマークを有効にします。従業員が内部文書のスクリーンショットを撮ると、画像には管理者が定義したウォーターマークが重ねて表示されます。これにより、内部ファイルの漏えいを効果的に抑制し、データ侵害が発生した場合に重要な監査証跡を提供します。
|
周辺機器のセキュリティ
管理ポリシーにより、特定のデバイスリダイレクト機能を制限し、特定の種類のクライアント周辺機器がクラウドコンピューター環境に直接アクセスするのを防ぎ、セキュリティ脅威を回避できます。管理者は、クラウドコンピューターに対して次の周辺機器を有効または無効にできます:
プリンター:印刷によるデータ漏えいを防ぎ、システムのセキュリティを脅かす可能性のある未認証のプリンターをブロックするために、プリンターのリダイレクトを無効にします。
Web カメラ:マルウェアが Web カメラの画像をキャプチャするのを防いだり、偶発的なプライバシー漏えいを回避したりするために、Web カメラのリダイレクトを無効にします。
USB デバイス:すべてのクライアント USB デバイスを有効または無効にしたり、特定のベンダー ID (VID) とプロダクト ID (PID) を使用して細かく制御したりできます。これにより、あらゆる種類の USB デバイスを有効または無効にできます。
|
データの可用性
スナップショットのバックアップと復元 (管理者)
スナップショットは、ディスクのポイントインタイムバックアップです。レジストリや重要なシステムファイルの変更など、クラウドコンピューターの安定性に影響を与える可能性のある高リスク操作を実行する前に、スナップショットを作成することを推奨します。障害が発生した場合、スナップショットを使用してディスクを復元できます。
手動作成:ビジネスニーズに基づいていつでもスナップショットを作成し、バックアップするディスクを指定できます。エンドユーザーにローカル管理者権限を付与すると、彼らは WUYING Terminal インターフェイスからスナップショットの作成、復元、削除ができます。
自動作成:デフォルトでは、システムは各クラウドコンピューターのシステムディスクとデータディスクの自動スナップショットを作成します。このデフォルトのスナップショットは 3 日間のみ保持され、その後自動的に削除されます。要件に合わせて自動スナップショットポリシーを設定することもできます。システムは次のシナリオで自動的にスナップショットを作成します:
重要カスタムスナップショットポリシーを設定せず、Elastic Desktop Service Enterprise のデフォルトのスナップショットポリシーのみを使用する場合、システムが生成したスナップショットはインスタンスがリリースされると削除され、回復できません。
クラウドコンピューターが自動スナップショットポリシーに関連付けられている場合、システムはポリシーで指定された時間に自動的にスナップショットを作成します。
管理者がクラウドコンピューターまたはカスタムイメージをアップグレードする前に、システムはアップグレードの失敗に備えて自動的にスナップショットを作成します。アップグレードが失敗した場合、システムは自動的に変更をロールバックします。アップグレードが成功した場合、元のクラウドコンピューターのシステムディスクのスナップショットは削除されますが、データディスクのスナップショットは保持されます。
カスタムイメージを使用するクラウドコンピューターのイメージを変更する際に、カスタムイメージが削除されている場合、システムは自動的にスナップショットを作成します。イメージが正常に変更された後、システムはこのスナップショットを自動的に削除します。
エンドユーザーがクライアントからクラウドコンピューターをアップグレードする前に、システムはアップグレードの失敗に備えて自動的にスナップショットを作成します。この場合、クラウドコンピューターに対して最大 3 つのスナップショットを作成でき、3 日間のみ保持され、その後自動的に削除されます。
自動スナップショット作成のスケジュールは次のとおりです:
自動スナップショットポリシーが関連付けられていない場合:
2024 年 8 月 19 日 12:00 (UTC+8) 以降に作成されたすべてのリージョンのクラウドコンピューター:毎日 22:00 から翌日 06:00 の間。
2024 年 6 月 7 日 17:42 (UTC+8) から 2024 年 8 月 19 日 12:00 (UTC+8) の間に作成された中国 (杭州) リージョンのクラウドコンピューター:毎日 02:00。
その他すべてのクラウドコンピューター:毎日 01:00。
自動スナップショット作成を停止するには、スナップショット ページに移動し、Snapshot Management タブをクリックして、System Snapshot スイッチをオフにします。
自動スナップショットポリシーが関連付けられている場合:スナップショットはポリシーで指定された時間に作成されます。
|
復元ポイントのバックアップと復元 (エンドユーザー)
エンドユーザーは、復元ポイントを使用してクラウドコンピューターのデータをバックアップおよび回復できます。たとえば、ユーザーは重要なシステムファイルの変更などの高リスク操作を実行する前に復元ポイントを作成できます。システム障害や操作ミスが発生した場合、ユーザーは復元ポイントからクラウドコンピューターを復元できます。
|
データの機密性
通信セキュリティ
Elastic Desktop Service Enterprise のクラウドコンピューターは、デフォルトで Alibaba Cloud 独自の Adaptive Streaming Protocol (ASP) を使用します。ASP は、Tongsuo に基づく TLS 暗号化伝送をサポートしています。Tongsuo (旧 BabaSSL) は、Alibaba が開発したオープンソースの基礎暗号ライブラリであり、最新の暗号アルゴリズムと安全な通信プロトコルを提供します。ストレージ、ネットワーキング、キー管理、プライバシー保護計算など、さまざまなビジネスシナリオに基礎的な暗号機能を提供します。Tongsuo は、伝送、使用、保存中のデータのプライバシー、整合性、真正性を保護し、ライフサイクル全体にわたるデータセキュリティを確保します。Tongsuo は、中国国家暗号管理局の商用暗号試験センターが発行する商用暗号製品認証を取得しています。これにより、ユーザーは国家機密変換、暗号評価、等級保護などのプロセスにおいて、中国の商用暗号技術に関する厳格なコンプライアンス要件を満たすことができます。
Tongsuo は次の機能を提供します:
技術的コンプライアンス:GM/T 0028「暗号モジュールのセキュリティ技術要件」の「ソフトウェア暗号モジュールのセキュリティレベル 1」の資格に準拠しています。
ゼロ知識証明 (ZKP):Bulletproofs
暗号アルゴリズム
中国商用暗号アルゴリズム:SM2、SM3、SM4、ZUC など。
主流の国際アルゴリズム:ECDSA、RSA、AES、SHA など。
準同型暗号アルゴリズム:EC-ElGamal、Paillier など。
安全な通信プロトコル
GB/T 38636-2020 TLCP 標準、デュアル証明書国家暗号通信プロトコルをサポート。
単一の国家暗号証明書を持つ TLS 1.3 である RFC 8998 をサポート。
QUIC API をサポート。
draft-ietf-tls-subcerts-10 に基づく Delegated Credentials 機能をサポート。
TLS 証明書圧縮をサポート
|