Data Security Center (DSC) は、Object Storage Service ( OSS ) バケットのセキュリティ構成コンプライアンスを評価および検証します。たとえば、DSC は、アクセス制御リスト ( ACL ) と暗号化ポリシーが構成されているかどうかを確認し、検出されたリスク項目の処理方法に関する提案を提供します。OSS バケット内のアセットの基本的なセキュリティ構成を強化するために、提案に基づいてできるだけ早くリスク項目を処理することをお勧めします。
概要
DSC は、OSS バケットの以下のチェック項目をサポートしています。
ポリシー | チェック項目 | 説明 |
データストレージセキュリティ | OSS - バケットのサーバー側暗号化を有効にする | OSS バケットで暗号化機能が有効になっているかどうかを確認します。 データの機密性と整合性を確保するために、データストレージの暗号化などのセキュリティ対策を構成する必要があります。 |
データのバックアップとリカバリ | OSS - バケットのバージョン管理を有効にする | OSS バケットでバージョン管理機能が有効になっているかどうかを確認します。 保存データの冗長管理を実装し、データの可用性を保護するために、バージョン管理と復元設定を構成する必要があります。 |
アクセス制御管理 | OSS - バケットの盗難防止チェーン構成を有効にする と OSS - アクセス元の IP アドレスホワイトリストを構成する | OSS バケットがインターネットに公開されているかどうかを確認します。 アセットの公開を防ぐために、ビジネス要件に基づいてデータへのアクセスと使用を制限する必要があります。 |
データ転送暗号化 | OSS - 安全な暗号化転送を有効にする | 転送中に OSS オブジェクトの暗号化転送が有効になっているかどうかを確認します。 転送されるデータのセキュリティを確保するために、暗号化などのセキュリティ対策を構成する必要があります。 |
ログ監視監査 | OSS - ログストレージを有効にする | OSS オブジェクトのログストレージ機能が有効になっているかどうかを確認します。 データ処理プロセスのトレーサビリティを確保するために、データ処理ライフサイクル全体を通して記録と監視を実装する必要があります。 OSS オブジェクトのログストレージなどの機能を有効にする必要があります。 |
ID 権限管理 | OSS - 匿名アカウントの「読み取り / 書き込み / フルコントロール」権限構成 | OSS オブジェクトの権限管理が適切かどうかを確認します。たとえば、システムは、オブジェクトの変更を許可するためにパブリック読み取り / 書き込み ACL がオブジェクトに構成されているかどうかを確認します。 データへのアクセスと使用には、最小限の権限の原則を適用する必要があります。許可されたユーザーのみがアセットにアクセスできます。 |
機密データ保護 | OSS - 機密データバケットのパブリック読み取り ( 書き込み ) アクセスチェック と OSS - ログファイルのパブリック読み取り ( 書き込み ) アクセス許可設定 | データ漏洩のリスクが存在するかどうか、または機密データを含むプロジェクトでアクセス制御が有効になっているかどうかを確認します。たとえば、システムは、OSS ログにパブリック読み取り / 書き込み ACL が構成されているかどうかを確認します。 この例では、OSS バケットに対してセキュリティベースラインチェックが実行され、機密データの識別は実行されません。デフォルトでは、OSS - 機密データバケットのパブリック読み取り ( 書き込み ) アクセスチェック チェック項目はチェックに合格します。 |
上記のチェック項目のセキュリティベースラインチェックを完了するには、次の手順を実行します。
OSS バケットを作成します。
OSS バケットを DSC に接続します。この手順では、DSC が OSS バケットにアクセスすることを承認する必要があります。
手動でセキュリティベースラインチェックを実行します:DSC は、毎日午前 1 時頃に接続されているデータベースアセットに対してセキュリティベースラインチェックを自動的に実行します。セキュリティベースラインチェックの結果をすぐに表示する場合は、手動でセキュリティベースラインチェックを実行する必要があります。
セキュリティリスクを表示して処理します:セキュリティベースラインチェックの結果に基づいて、検出されたリスク項目をできるだけ早く処理します。
前提条件
現在のアカウントで DSC の無料版が有効になっていること、および DSC が他の Alibaba Cloud リソースにアクセスすることを承認されていること。
無料版 の DSC は、ベースラインチェック機能を提供します。Alibaba Cloud データセキュリティベストプラクティスのチェック項目に基づいてベースラインチェックを実行できます。 DSC の無料版は、毎月 500 TB の OSS 保護容量を提供します。この例では、DSC の無料版が有効になっています。
OSS が有効になっていること。 OSS を有効にするには、OSS 購入ページにアクセスします。
手順 1:OSS バケットを作成する
OSS コンソールの [バケット] ページで、[バケットの作成] をクリックします。
[バケットの作成] Create Bucket パネルで、次の図に示すようにパラメーターを設定し、その他のパラメーターにはデフォルト設定を使用します。次に、[作成] Create をクリックします。
手順 2:OSS バケットを DSC に接続する
DSC コンソールの [承認管理] ページで、[アセット承認管理] をクリックします。
[アセット承認管理] パネルの [非構造化データ] セクションで [OSS] をクリックし、[アセット同期] をクリックします。
アセットを同期した後、管理する OSS バケットを選択し、[アクション] 列の [承認] をクリックします。
承認が完了したら、[承認管理] ページで OSS バケットを見つけ、[アクション] 列の [接続] をクリックします。
[一括接続] ダイアログボックスで、[OK] をクリックします。[データベースアセットをすぐにスキャンしてデータを識別する] を選択する必要はありません。
OSS バケットの [接続ステータス] が [接続済み]に変わるまで待ちます。
手順 3:手動でセキュリティベースラインチェックを実行する
3.1 ベースラインチェックポリシーが有効になっているかどうかを確認する
[ポリシー] タブの [alibaba Cloud データセキュリティベストプラクティス] タブで、OSS に関連するチェック項目とそのステータスを表示します。
[PIPL ベースのセキュリティベースラインチェック] を使用するには、DSC Enterprise Edition を購入する必要があります。この例では、[alibaba Cloud データセキュリティベストプラクティス] のチェック項目を使用して、承認済みバケットのセキュリティ構成コンプライアンスを確認します。
デフォルトでは、DSC は、承認された OSS アセットのベースラインチェックポリシーのすべてのチェック項目を有効にします。
各チェック項目の [ステータス] 列に
アイコンが表示されているかどうかを確認します。
3.2 各チェック項目に対して手動でセキュリティベースラインチェックを実行する
でアラートアラートタブで、管理するポリシーを見つけてクリックします詳細で[アクション] 列の
でリスク状況タブで、OSS に関連するチェック項目を見つけてクリックします[チェック] をクリックします。[チェック] ボタンが再度強調表示されている場合は、チェックは完了です。この場合、パネルを閉じることができます。
上記の手順を繰り返して、異なるポリシーのチェック項目のセキュリティベースラインチェックを実行します。
手順 4:セキュリティリスクを表示して処理する
4.1 OSS バケットのチェック結果を表示する
セキュリティベースラインチェックが完了したら、[リスクの傾向]リスクトレンド タブで必要なバケットを検索します。この例では、5 つのチェック項目がベースラインチェックに合格し、4 つのチェック項目がチェックに失敗しています。
クリック [処理] を [アクション] 列でクリックして、失敗したチェック項目と処理の提案を表示します。
4.2 リスク項目を処理する
[リスクの詳細] セクションで、管理するリスク項目を見つけ、[処理] をクリックして、リスク項目を処理するための関連ページに移動します。たとえば、OSS - バケットのサーバー側暗号化を有効にする リスク項目を処理します。
OSS バケットの [サーバー側暗号化] ページで、[設定] をクリックします。たとえば、[暗号化方法] パラメーターを [OSS マネージド] に設定し、[保存] をクリックします。サーバー側暗号化の詳細については、「サーバー側暗号化」をご参照ください。
4.3 再チェックを実行する
DSC コンソールの [リスクの詳細] セクションに戻り、[再チェック] をクリックします。
リスク項目がチェックに合格した場合、リスク項目は処理されます。
上記の手順を実行してすべてのリスク項目を処理し、OSS バケットのセキュリティ構成コンプライアンスを強化できます。
まとめ
バケットにデータを保存する前に、既存の OSS バケットのセキュリティ構成コンプライアンスを確認できます。これは、データストレージのセキュリティを向上させるのに役立ちます。
機密データ保護ポリシー
デフォルトでは、OSS - 機密データバケットのパブリック読み取り ( 書き込み ) アクセスチェック チェック項目はセキュリティベースラインチェックに合格し、機密データの識別は実行されません。バケットにデータを保存した後の OSS バケットのセキュリティ構成コンプライアンスを確保するために、機密データ識別タスクを作成して、OSS バケットで機密データを定期的にスキャンできます。機密データを含む OSS バケットの場合、DSC は OSS - 機密データバケットのパブリック読み取り ( 書き込み ) アクセスチェック チェック項目のセキュリティベースラインチェックを実行します。これは、リスク項目をできるだけ早く処理するのに役立ちます。
機密データ識別タスクの詳細については、「識別タスクを使用して機密データを識別する」をご参照ください。
DSC の無料版では、毎月 5 GB のアセットを無料でスキャンできます。クォータがビジネス要件を満たせない場合は、DSC の有料版を購入できます。詳細については、「DSC を購入する」をご参照ください。
ホワイトリスト管理
現在のアセットのチェック項目のチェック結果を無視できることを確認したら、[アセットリスク] タブに移動し、管理する OSS アセットを見つけ、[アクション] 列の [ホワイトリストに追加] をクリックして、アセットをチェック項目のホワイトリストに追加します。
DSC の無料版では、ホワイトリスト機能はサポートされていません。ホワイトリスト機能を使用するには、DSC Enterprise Edition を購入する必要があります。
