データセキュリティには、データライフサイクル全体を通して、不正アクセス、不正使用、改ざん、および損失からデジタルデータを保護することが含まれます。 クラウドのデータセキュリティは、ユーザービジネスのライフラインであり、クラウドセキュリティ全体の最も重要な兆候です。 サイバー脅威が世界中で進化し拡大し続けるにつれて、データ保護が重要になります。 Alibaba Cloudには、ユーザーのデータを保護する責任と義務があります。 このトピックでは、データの整合性、機密性、可用性の観点から、Elastic Compute Service (ECS) インスタンスのユーザーデータセキュリティを確保する方法について説明します。
データの整合性の確保
データの完全性とは、検証などの技術を使用してデータの正確性と一貫性をチェックし、データの送信および保存中にデータが誤ってまたは悪意を持って改ざんされるのを防ぎます。
転送または保存されるデータの整合性を確保するために、ECSインスタンスは3重のストレージテクノロジーを使用して99.9999999% (9秒) のデータ信頼性目標を達成し、安全なデータ消去メカニズムを使用して完全なデータ消去を達成し、CRC (Cyclic Redundancy Check) 機能を使用してエンドツーエンドのデータを保護します。
三重化ストレージ
機能の説明: クラウドディスクから読み書きされるデータは、特定のポリシーに基づいてストレージクラスター内の異なるデータノードに保存される3つのチャンクコピーにレプリケートされます。 三重ストレージ機能は、ECSインスタンスで99.9999999% (9秒) のデータ信頼性目標を達成し、読み取りおよび書き込み操作中のデータの安定性を保証します。 詳細については、「Triplicate storage」をご参照ください。
設定方法: デフォルトでは、この機能はクラウドディスクでサポートされています。
データ消去メカニズム
機能の説明: 分散ブロックストレージシステム内の削除されたデータは完全に消去され、アクセスまたは復元することはできません。 これにより、データの整合性が保証されます。
ストレージシステムは、クラウドディスクの下層で既存のファイルにデータを追加するためにシーケンシャル書き込みを実行します。 このメカニズムは、物理ディスクへの高帯域幅および低レイテンシのシーケンシャル書き込みを完全に利用します。 クラウドディスクの下層にデータが追加された後にクラウドディスクから論理空間を削除すると、削除操作はメタデータとして記録されます。 ストレージシステムは、論理空間からデータを読み出すすべての要求に対してゼロのみを返す。 同様に、クラウドディスクの論理空間に格納されているデータを上書きしても、ストレージシステムは対応する物理空間のデータをすぐには上書きしません。 代わりに、ストレージシステムは、論理空間と物理空間との間のマッピングを変更する。 これにより、すでに上書きされたデータが読み取り不能になります。 削除または上書き操作の結果生じたデータフラグメントは、基になる物理ディスクから強制的かつ完全に削除されます。
Elastic Block Storage (EBS) デバイス (クラウドディスク) をリリースすると、ストレージシステムはすぐにデバイスのメタデータを破棄し、ディスクデータにアクセスできなくなります。 同時に、ディスクの物理ストレージスペースがリサイクルされます。 物理ストレージスペースは、再割り当てされる前にクリアする必要があります。 データが新しいクラウドディスクに書き込まれる前に、システムはすべての読み取り要求に対してゼロのみを返します。
設定方法: デフォルトでは、この機能はクラウドディスクでサポートされています。
CRC
機能の説明: デフォルトでは、クラウドディスクはデータの送信および保存中のエンドツーエンドのデータのCRC機能をサポートしています。 この機能は、次のシナリオで使用して、データ転送中にディスクデータが損なわれず、破損しないようにすることができます。
フルリンクCRC機能は、読み書きされるデータに対して実行されます。
ブロックストレージシステムは、持続性媒体内のデータに対するCRCおよび冗長性および一貫性チェックを定期的に実行する。
設定方法: デフォルトでは、この機能はクラウドディスクでサポートされています。
データの保存、送信、コンピューティング中のデータの機密性の確保
データの機密性により、許可された個人またはシステムのみがデータにアクセスできるようになり、不正アクセスと開示を防ぎます。 データの機密性は、暗号化技術を用いて達成される。 データが送信中に傍受されたり、保存中に不正にアクセスされたりしても、データコンテンツは復号できません。
ECSは、データストレージ、送信、およびランタイムを含むエンドツーエンドのプロセスでさまざまなセキュリティ機能とソリューションを提供し、次の側面でデータの機密性を確保します。データストレージの機密性、ネットワークデータ送信の機密性、データランタイムのコンピューティング環境の機密性。
データストレージの機密性
ディスク暗号化
機能の説明: ECSインスタンスと一緒にシステムディスクを作成する場合、またはデータディスクを個別に作成する場合は、クラウドディスクの暗号化を有効にします。 クラウドディスクが作成された後、クラウドディスクのホストとして機能するECSインスタンスのオペレーティングシステム内のデータは、データがクラウドディスクに書き込まれるときに自動的に暗号化され、データがクラウドディスクから読み取られるときに自動的に復号化されます。 データがオペレーティングシステムで暗号化されているかどうかはわかりません。キー管理インフラストラクチャを構築または保守する必要はありません。 ディスク暗号化は、データのプライバシーと自律性を保護し、ビジネスデータの安全な境界を提供します。
設定方法: 詳細については、「クラウドディスク暗号化の概要」をご参照ください。
重要セキュリティコンプライアンスの要件が高い企業の場合、企業のAlibaba Cloudアカウントに属するすべてのRAM (Resource Access Management) ユーザーは、データの機密性を確保するためにデータの暗号化が必要です。 ECSでは、RAMユーザーが暗号化されたディスクのみを作成できるようにカスタムポリシーを設定できます。 詳細については、「ECSのカスタムポリシー」トピックの「RAMユーザーに暗号化ディスクのみを作成する権限を付与するカスタムポリシー」セクションをご参照ください。
スナップショット暗号化
スナップショット暗号化は、システムディスクやデータディスクなどの暗号化されたクラウドディスクに保存されたデータをバックアップするためにスナップショットを暗号化します。 クラウドディスクが暗号化されている場合、そのスナップショットはクラウドディスクの暗号化属性を継承します。 スナップショットが別のリージョンにコピーされたり、クラウドディスクの復元に使用されたりしても、スナップショットデータは暗号化されたままです。
イメージの暗号化
画像暗号化は、暗号化アルゴリズムを使用して画像を暗号化し、画像に保存されているデータを不正アクセスや開示から保護します。 また、不正なユーザが画像データにアクセスしようとしても、画像データの読み出しや復号化はできない。 これにより、画像に格納されたデータが確保される。 暗号化されたシステムディスクを備えたECSインスタンスまたは暗号化されたスナップショットから、暗号化されたイメージを作成できます。 イメージのコピー機能を使用して、暗号化されていないイメージを暗号化されたイメージにコピーできます。
機密性のネットワークデータ伝送
ECSは、データ送信の機密性に関するセキュリティ機能を提供します。 インスタンスメタデータには、セキュリティ強化モード、VPNゲートウェイを使用した安全なアクセス、HTTPSを使用したECSリソースへのアクセスのいずれかのモードでアクセスできます。
セキュリティ強化モードでのインスタンスメタデータへのアクセス
機能の説明: 通常モードでメタデータサービスにアクセスして、認証なしでインスタンスメタデータを表示できます。 インスタンスメタデータに機密情報が含まれている場合、送信リンクを介した盗聴または漏洩が発生する可能性があります。 ECSにSSRF (Server-Side Request Forgery) の脆弱性がある場合、攻撃者はメタデータサービスのデータを使用してSTS (Security Token Service) トークンを取得する可能性があります。これにより、AccessKeyリークと同様のリスクが発生します。 通常モードと比較して、セキュリティ強化モードは、トークンベースの認証を使用してインスタンスメタデータにアクセスすることにより、SSRF攻撃に対する保護を強化します。
設定方法: メタデータサービスにアクセスしてメタデータを取得するには、セキュリティ強化モードを選択することを推奨します。 詳細については、「インスタンスメタデータの取得」をご参照ください。
VPNゲートウェイを使用した安全なアクセス
機能の紹介: VPNゲートウェイを使用すると、暗号化されたトンネルを確立して、オンプレミスのエンタープライズデータ、オフィスネットワーク、インターネットクライアントをAlibaba Cloud仮想プライベートクラウド (VPC) に安全かつ信頼性の高い方法で接続できます。 VPNゲートウェイは、IPセキュリティ (IPsec) VPNとSecure Sockets Layer (SSL) VPNの2つのネットワーク接続方法を提供します。 VPNゲートウェイは、IKE (Internet Key Exchange) とIPsecを使用して送信データを暗号化し、データ送信のセキュリティを確保します。
IPsec − VPN接続: 各データパケットは、データパケットがIPsec − VPN接続を介して送信される前に、IPsecによって暗号化される。 IPsecは、データの完全性を確保するためのデータ暗号化とデータ認証に使用されるプロトコルの集まりです。
SSL-VPN接続: SSLクライアント証明書がクライアントにインストールされ、クライアントとVPNゲートウェイ間のSSL-VPN接続が確立されます。 SSL-VPN接続を介して送信されるトラフィックは、SSLを使用して暗号化され、データ暗号化とID認証を実行し、データの整合性を確保します。
詳細については、「」をご参照ください。VPNゲートウェイとは
設定方法: デフォルトでは、この機能はサポートされています。
HTTPSを使用したECSリソースへのアクセス
機能の説明: HTTPに基づいて、HTTPSはトランスポート層セキュリティ (TLS) とSSLを使用して送信中にデータを暗号化します。 これにより、第三者によるデータの監視、傍受、改ざんが防止されます。 ECSは、暗号化された送信にHTTPSをサポートし、機密情報の送信暗号化要件を満たすために256ビット長のキーを提供します。 TLS 1.2暗号化は、Session Managerを使用してインスタンスに接続する場合、パスワードまたはキーを使用してインスタンスに接続する場合、またはCloud Assistantを使用してインスタンスにアクセスする場合に使用されます。
設定方法: デフォルトでは、この機能はサポートされています。
重要Alibaba Cloudは、
acs:SecureTransport設定を提供します。 この設定により、送信されたデータの機密性を保護するために、HTTPS経由でのみECSリソースにアクセスできます。 設定を参照するカスタムポリシーを設定し、そのカスタムポリシーをRAMユーザーにアタッチして、RAMユーザーにHTTPS経由でのみECSリソースにアクセスする権限を付与することを推奨します。 詳細については、「ECSのカスタムポリシー」をご参照ください。
データランタイムのコンピューティング環境の機密性
機能の説明: データの保存と送信の機密性に加えて、データランタイムのコンピューティング環境の機密性が重要です。 コンピューティングおよびセキュリティに最適化されたECSインスタンスは、ハードウェア暗号化、分離、ユーザー監査機能などの技術的方法を使用して、安全で信頼性の高い分離されたコンピューティング環境とさまざまな保護層を提供し、さまざまなセキュリティおよびパフォーマンス要件を満たします。 コンピューティングおよびセキュリティに最適化されたECSインスタンスのインスタンスタイプは、ホストメモリ暗号化、トラステッドコンピューティング、および機密コンピューティングを対象としています。 詳細については、「セキュリティ機能の概要」をご参照ください。
構成方法: 詳細については、「信頼できるコンピューティング機能」、「機密コンピューティング機能」、および「セキュリティ機能のベストプラクティス」をご参照ください。
バックアップおよび復元ソリューションによるデータ可用性の確保
機能の説明: データの可用性により、データライフサイクルを通じてデータが完全で一貫性のある正確な状態に保たれます。 データの可用性は、データのバックアップおよび復元機能によって保証されます。 ECSは、スナップショットベースのバックアップと復元、イメージベースのバックアップと復元、データディスクパーティションのデータ復元、データ災害復旧と復元のためのマルチゾーン展開アーキテクチャなど、データの可用性要件を満たすためのデータバックアップと復元にさまざまなセキュリティ機能を提供します。
設定方法: 詳細については、「ディザスタリカバリソリューション」をご参照ください。