このトピックでは、Elastic Compute Service (ECS) とお客様が想定すべきセキュリティ責任について説明します。
クラウドセキュリティ
インターネットの急速な発展に伴い、中国は過去数十年でサイバーセキュリティとデータセキュリティに関連する200以上の法律と規制を完成させ、導入しました。中華人民共和国サイバーセキュリティ法 (中国のサイバーセキュリティに関する基本法として認められている) および中華人民共和国データセキュリティ法 (中国のデータセキュリティに関する基本法として認められている) を含み、企業のビジネスセキュリティおよびデータセキュリティに関する厳格な要件と基準を課します。 顧客がクラウドコンピューティングアプリケーションを受け入れるにつれて、ビジネスとユーザーの両方の情報のセキュリティを保護するために、どのようにクラウドに移行するかからどのようにクラウドでビジネスを継続的かつ安全に運用するかに焦点を移します。 これに関連して、クラウドセキュリティとコンプライアンスは企業からより注目を集めています。
良好なクラウドセキュリティ体制を維持するために、一連のポリシー、制御手段、および技術的手段をまとめて使用し、クラウドインフラストラクチャ、データストレージ、データアクセス、およびアプリケーションを保護し、クラウドベースのビジネスをセキュリティの脅威から保護します。 クラウドセキュリティとコンプライアンスは、Alibaba Cloudとお客様の間で共通の責任です。 Alibaba Cloudのお客様は、クラウドベースのビジネスに関連するリスクに精通している必要があります。 また、運用上の負担を軽減し、セキュリティイベントによって引き起こされる資産の損失を防ぐために、包括的なセーフガードを設計および導入する必要があります。
ECSの共有セキュリティ責任モデル
ECSはAlibaba CloudのIaaSサービスです。 ECSのセキュリティは、Alibaba Cloudと顧客の間の共通の責任です。 共有セキュリティ責任モデルでは、ECSセキュリティをクラウドのセキュリティおよびクラウド内のセキュリティとして説明します。
クラウドのセキュリティ: Alibaba cloudはクラウドのセキュリティを担当します。 Alibaba Cloudは、ECSを実行するインフラストラクチャを保護し、ECSインスタンスをホストする物理ハードウェア、ソフトウェアサービス、ネットワークデバイス、管理サービスなど、安全に使用できるサービスとリソースを提供します。
クラウドのセキュリティ: ECSのセキュリティはお客様が担当します。 具体的には、ゲストOS (アップデートやセキュリティパッチを含む) を適切に管理し、ECSで実行されるアプリケーションやツールを保護し、ECSに出入りする情報の流れを監視および保護する必要があります。 セキュリティルールに準拠したネットワーク設定の実行、最小権限の原則に基づくECS権限の管理など、ECSおよびECSインスタンスでホストされているサービスを安全に設定してアクセスする必要があります。
次の図は、ECSの共有セキュリティ責任モデルを示しています。
クラウドのセキュリティに対するAlibaba Cloudの責任
Alibaba Cloudは、クラウドのセキュリティを強化するために、次の4つの保護層を提供します。
データセンターのセキュリティ: アリババクラウドのデータセンターは、GB50174 Code for Design of Electronic Information System RoomのクラスA規格およびデータセンターのTIA-942通信インフラストラクチャ規格のTier 3 + 規格に準拠して構築されています。
データセンターの災害復旧: アリババクラウドのデータセンターには、一定の温度と湿度を維持するホットスタンバイモードの火災センサー、煙センサー、精密空調システムが設置されている。 データセンターは、冗長電力システムによってバックアップされた公共電力会社によって電力供給されています。
人事管理: 指紋や本人確認などの二要素認証を使用して、機械室、測定エリア、保管室にアクセスします。 特定の領域は、鉄のケージを使用して物理的に隔離されます。 厳格なアカウント管理、ID認証、承認管理、職務分離、およびアクセス制御が実装されています。
O&M監査: セキュリティ監視システムは、データセンターのさまざまな領域に設置されています。 生産システムは、要塞ホストを使用することによってのみ操作および維持できます。 すべての操作レコードはログされ、ログプラットフォームに保存されます。
物理インフラセキュリティ: 物理インフラには、物理サーバー、ネットワークデバイス、およびストレージデバイスが含まれます。 物理インフラストラクチャのセキュリティは、クラウド内のデータセンターのセキュリティに依存し、パブリッククラウド内のサービスに追加のセキュリティ層を追加します。 Alibaba Cloudの物理インフラストラクチャを保護するために、以下の対策が講じられています。
データ破壊: アリババクラウドは、NIST Special Publication 800-88、Guidelines for Media Sanitizationの標準に基づいて、ストレージメディアからデータを安全に消去するメカニズムを開発している。 このメカニズムにより、アリババクラウドは、できるだけ早い機会にデータ資産を削除し、アリババクラウドが顧客のためのサービスを終了するときに、記憶媒体からデータを複数回サニタイズすることによってデータを完全に破壊することができる。
ストレージアセット管理: Alibaba Cloudは、ストレージアセットのきめ細かいストレージコンポーネントレベルの管理を提供し、固有のハードウェア識別情報を割り当てて、ストレージメディアまたはストレージメディアが存在する小型デバイスの検索を容易にします。 特定の要件に基づいて安全にサニタイズまたは物理的に破壊されていない記憶媒体は、データセンターまたはセキュリティ制御領域を離れることができない。
ネットワーク分離: Alibaba Cloudは、本番ネットワークを非本番ネットワークから分離し、ネットワークアクセス制御リスト (ACL) を使用して、クラウドサービスネットワークから物理ネットワークへのアクセスをブロックします。 要塞ホストは本番ネットワークのエッジに配置され、オフィスネットワークのO&M担当者は、要塞ホストでドメインアカウントと動的パスワードを使用して多要素認証ステップを実行することによってのみ本番ネットワークにアクセスできます。
仮想化システムのセキュリティ: 仮想化は、コンピューティング、ストレージ、およびネットワークリソースの仮想表現を作成して、クラウドコンピューティング環境のテナントを分離できるクラウドコンピューティングの柱テクノロジーです。 Alibaba Cloudは、テナントの分離、セキュリティ強化、エスケープの検出と修正、ライブパッチ適用、データ消去などの仮想化セキュリティ技術を提供し、仮想化層を保護します。
ライブパッチ: 仮想化プラットフォームは、実行中のシステムにセキュリティパッチを適用できるライブパッチ手法をサポートしています。
データ消去: インスタンスがリリースされると、インスタンスに関連付けられているストレージメディアからデータが完全に消去されます。 これは、データセキュリティに向けた重要なステップです。
テナントの分離: ハードウェアベースの仮想化テクノロジーは、オペレーティングシステムレベルの分離を提供し、各仮想マシンを同じハードウェア上で実行される他の仮想マシンから分離します。 仮想マシンのゲストOSにアクセスできるテナントは、テナントがアクセスできない別の仮想マシンにアクセスするために、この分離層を破ることはできません。
コンピューティング分離: 仮想マシンは、管理システムおよび他の顧客の仮想マシンから分離されます。
ネットワーク分離: 各仮想ネットワークは他のネットワークから分離されます。
ストレージの分離: コンピューティング-ストレージの分離により、各仮想マシンは、使用可能にする物理ディスクにのみアクセスできます。
セキュリティ強化: 仮想化管理プログラムとホストOSまたはカーネルはセキュリティ強化されています。 仮想化ソフトウェアは、リンク全体を保護するために、信頼できる実行環境でコンパイルして実行する必要があります。
エスケープの検出と修正: 高度な仮想マシンレイアウトアルゴリズムを使用して、悪意のあるユーザーが特定の物理マシンで仮想マシンを実行したり、仮想マシンが実行されている物理ホスト環境を仮想マシンが検出したりするのを防ぎます。 仮想マシンの不審な動作が調査され、脆弱性がホットフィックスされます。
クラウドプラットフォームのセキュリティ: クラウドプラットフォームは、Alibaba CloudアカウントとRAMユーザーの管理、ログオンのための多要素認証など、クラウドベースのアカウント管理サービスを提供します。 クラウドプラットフォームは、きめ細かいアクセス許可や安全なアクセスなどのアクセス制御サービスも提供します。
ECSのセキュリティに対するお客様の責任
お客様はECSのセキュリティを担当し、ECSに入れたものまたは接続したものを保護します。 ECSインスタンスにOSアップデートパッチを適切にインストールし、適切なセキュリティグループルールを設定してECSインスタンスへの不正アクセスをブロックし、ECS上のデータを暗号化してデータセキュリティを強化する必要があります。
Alibaba Cloudは、ビジネスセキュリティを強化するための要件に基づいてセキュリティ設定を実行するのに役立つ一連のセキュリティ管理および設定ツールを提供しています。
Alibaba Cloudサービス | 説明 | 参考資料 |
OSセキュリティ | ||
信頼できるコンピューティング | Trusted Platform Modules (TPM) またはTrusted Cryptography Modules (TCM) は、信頼できるインスタンスをホストする基盤となる物理サーバー上の信頼できるコンピューティングベース (TCB) として機能し、インスタンスの改ざん防止、信頼できるブートを保証します。 さらに、仮想TPM (vTPM) を使用して、インスタンスのブートチェーンの重要なコンポーネントを測定できます。 | |
機密コンピューティング | 機密コンピューティング機能は、CPUハードウェアの暗号化および分離機能と連携して、データが改ざんから安全な信頼できる実行環境を作成できます。 リモート認証などのセキュリティ機能を使用して、クラウドプラットフォームを検証し、インスタンスのセキュリティステータスを確認することもできます。 | |
Security Center | Security Centerは、クラウド資産管理、ベースラインチェック、予防的防御、セキュリティ強化、構成評価、セキュリティステータスの可視化などの複数の機能を提供します。 Security Centerは、膨大なクラウドログ、分析モデル、および優れたコンピューティングパワーを使用して、クラウド内の資産のセキュリティステータスを包括的に監視します。 Security Centerは、ウイルス、攻撃、暗号化ランサムウェア、脆弱性エクスプロイト、AccessKeyペアリーク、マイニングなどのリスクを効率的に検出および防止できます。 Security Centerは、ハイブリッドクラウドにデプロイされたホスト、コンテナ、および仮想マシンのワークロードを保護し、規制コンプライアンス要件を満たすのに役立つ、セキュリティ運用のためのエンドツーエンドの自動化システムです。 | |
ECS IDとアクセスセキュリティ | ||
SSH キーペア | SSHキーペアは、インスタンスに接続するときにECSインスタンスの認証に使用できる公開キーと秘密キーで構成されます。 SSHキーペアを使用して、Linuxインスタンスにのみログインできます。 Linux ECSインスタンスで公開鍵を設定する場合は、SSHコマンドを実行するか、オンプレミスデバイスまたは別のインスタンスで接続ツールを使用して、パスワードではなく対応する秘密鍵を使用してLinuxインスタンスにログインできます。 これにより、キーペアを使用して、多数のLinuxインスタンスに同時にログインして管理することができます。 | |
セッションマネージャー | Session Managerはクラウドアシスタント機能であり、パスワードを提供したり、インバウンドアクセス用のポートを開いたりすることなく、Session Manager ClientからECSインスタンスに安全に接続できます。 Cloud Assistantとの通信中、Session Manager ClientはWeb Socket Secure (WSS) プロトコルを使用して、SSL暗号化された永続的なWebSocket接続を確立し、エンドツーエンドのデータセキュリティを確保します。 | |
セキュリティグループ | セキュリティグループは、ECSインスタンスがインバウンドトラフィックとアウトバウンドトラフィックを制御するための仮想ファイアウォールとして機能します。 セキュリティグループは、SPI (Stateful Packet Inspection) およびパケットフィルタリング機能を提供します。 セキュリティグループを使用して、クラウド内のセキュリティドメインを定義できます。 | |
Resource Access Management (RAM) | RAMはAlibaba Cloudが提供するサービスで、ユーザーIDとリソースアクセス権限を管理できます。 RAMユーザーとユーザーグループを作成および管理し、権限を管理することでクラウドリソースへのアクセスを制御できます。 | |
ネットワークセキュリティ | ||
Virtual Private Cloud (VPC) | VPCは、Alibaba Cloud上に構築された分離されたネットワーク環境です。 VPC は、互いに論理的に分離されています。 VPCは、vRouterやvSwitchなどの論理ネットワークデバイスで構成されます。 Express connect回線またはVPNを介してVPCをオンプレミスネットワークに接続して、カスタムネットワーク環境を作成できます。 これにより、アプリケーションをクラウドに簡単に移行し、オンプレミス環境の機能を拡張できます。 | |
ネットワーク ACL | ネットワークアクセス制御リスト (ACL) を使用して、VPCのアクセス制御を実装できます。 ネットワークACLルールを作成し、ネットワークACLをvSwitchに関連付けて、vSwitchに接続されているECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。 | ネットワークACLの概要 |
アプリケーションセキュリティ | ||
Cloud Firewall | Cloud Firewallは、ファイアウォールをサービスとして提供するクラウドセキュリティソリューションです。 Cloud Firewallは、インターネット、VPC、およびホストの境界にあるクラウドアセットの集中的なセキュリティ分離とトラフィック制御を実装します。 Cloud Firewallは、Alibaba Cloudのワークロードを保護するための最初の防衛線です。 インターネットファイアウォール、内部ファイアウォール、およびVPCファイアウォールを使用して、アクセス動作をきめ細かく管理し、インターネットトラフィック保護、VPC保護、およびインスタンス保護の3つのレイヤーで構成される詳細な防御システムを構築できます。 | |
Web Application Firewall (WAF) | WAFは、Webサイトとアプリケーション向けの悪意のあるトラフィックを識別して除外し、クリーンでスクラブされたトラフィックをWebサイトとアプリケーションに転送します。 これにより、webサーバーが侵入から保護され、データとサービスのセキュリティが保証されます。 | |
Anti-DDoS | Anti-DDoS Originは、Alibaba CloudアセットのパブリックIPアドレスをレイヤー3およびレイヤー4のボリューム攻撃から保護します。 トラフィックがAnti-DDoS Originのデフォルトのスクラブしきい値を超えると、トラフィックのスクラブが自動的にトリガーされ、DDoS攻撃が軽減されます。 Anti-DDoS Originは、主要な保護ポリシーとしてパッシブスクラビングを採用し、DDoS攻撃を軽減するための補助ポリシーとしてアクティブブロッキングを採用しています。 Anti-DDoS Originは、逆検出、ブラックリスト、ホワイトリスト、パケットコンプライアンスなどの従来のテクノロジーを使用して、攻撃が進行中でもアセットが期待どおりに機能するようにします。 Anti-DDoS Originは、Alibaba Cloudデータセンターの出口にバイパスモードでDDoS攻撃検出およびスクラブシステムをデプロイします。 Anti-DDoS Originを使用すると、DDoS攻撃に対する保護を低コストで強化し、サービスを標的とするDDoS攻撃の潜在的なリスクを軽減できます。 | |
VPN Gateway | VPN Gatewayは、暗号化されたプライベートトンネルを使用して、オンプレミスのデータセンター、オフィスネットワーク、インターネットクライアントをAlibaba Cloud VPCに安全かつ確実に接続するネットワーク接続サービスです。 | |
Certificate Management Service | Alibaba Cloud SSL証明書は、よく知られている認証局 (CA) によって発行される信頼できる資格情報です。 CAはWebTrustによって認定されています。 SSL証明書を使用して、WebサイトのIDを確認し、送信中のデータを暗号化できます。 証明書管理サービスは、証明書の発行と管理のためにAlibaba Cloudが提供するオールインワンプラットフォームです。 証明書管理サービスを使用すると、ライフサイクル全体でSSL証明書を管理し、プライベート証明書とプライベート証明書リポジトリを管理できます。 さまざまなシナリオで証明書をインストールおよび管理できます。 | |
データセキュリティ | ||
スナップショットサービス | Alibaba Cloudスナップショットサービスは、すべてのディスクカテゴリのクラッシュの一貫性のあるスナップショットを作成して、ディスク全体をバックアップまたは復元できるようにする、エージェントレスのバックアップサービスです。 クラッシュの一貫性のあるスナップショットは、データのバックアップ、イメージの作成、アプリケーションのディザスタリカバリの実装に使用できる効果的なディザスタリカバリソリューションです。 | |
ディスク暗号化 | ディスクを暗号化して、データのプライバシー、自律性、およびセキュリティを保護することができます。鍵管理インフラストラクチャを確立または維持する必要はありません。 ECSインスタンスのシステムディスクとデータディスクの両方を暗号化できます。 | |
Key Management Service (KMS) | KMSは、証明書のキーのセキュリティ、整合性、および可用性を確保するためにAlibaba Cloudが提供するセキュリティ管理サービスです。 KMSを使用すると、複数のアプリケーションとサービスのキーを管理し、規制および機密保護の要件を満たすことができます。 KMSは、キー管理とデータ暗号化のためのエンドツーエンドのプラットフォームであり、データを暗号化および保護するためのシンプルで信頼性が高く、安全で標準に準拠した機能を提供します。 KMSは、暗号化インフラストラクチャとデータの暗号化および復号化製品の調達、O&M、およびR&Dのコストを削減するのに役立ちます。 このようにして、あなたはあなたのビジネスの発展に集中することができます。 | |
セキュリティ監査 | ||
ActionTrail | ActionTrailは、Alibaba Cloudアカウントのアクションを監視および記録するサービスです。 アクションには、Alibaba cloud管理コンソール、API、SDKを使用したクラウドサービスへのアクセスと使用が含まれます。 ActionTrailはアクションをイベントとして記録します。 ActionTrailコンソールでイベントをダウンロードするか、イベントをSimple Log Service LogstoreまたはObject Storage Service (OSS) バケットに配信するようにActionTrailを設定できます。 次に、イベントの動作分析、セキュリティ分析、リソース変更の追跡、コンプライアンス監査を実行できます。 | |
サービスとしてのID (IDaaS) | Alibaba Cloud IDaaSは、エンタープライズユーザーに適した、クラウドネイティブで費用対効果が高く、便利な標準IDおよび権限管理システムです。 IDaaSは、管理者が組織構造、ライフサイクル、およびアカウントの権限を管理し、アプリケーションのシングルサインオン (SSO) などの機能を構成するためのオールインワンプラットフォームを提供します。 IDaaSを使用すると、ユーザーはアプリケーションポータルにアクセスし、独立したログオンシステムを使用し、アカウントを管理できます。 | |