すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:ECSの共有セキュリティ責任モデル

    ドキュメントセンター

    Elastic Compute Service:ECSの共有セキュリティ責任モデル

    最終更新日:Nov 26, 2024

    このトピックでは、Elastic Compute Service (ECS) とお客様が想定すべきセキュリティ責任について説明します。

    クラウドセキュリティ

    インターネットの急速な発展に伴い、中国は過去数十年でサイバーセキュリティとデータセキュリティに関連する200以上の法律と規制を完成させ、導入しました。中華人民共和国サイバーセキュリティ法 (中国のサイバーセキュリティに関する基本法として認められている) および中華人民共和国データセキュリティ法 (中国のデータセキュリティに関する基本法として認められている) を含み、企業のビジネスセキュリティおよびデータセキュリティに関する厳格な要件と基準を課します。 顧客がクラウドコンピューティングアプリケーションを受け入れるにつれて、ビジネスとユーザーの両方の情報のセキュリティを保護するために、どのようにクラウドに移行するかからどのようにクラウドでビジネスを継続的かつ安全に運用するかに焦点を移します。 これに関連して、クラウドセキュリティとコンプライアンスは企業からより注目を集めています。

    良好なクラウドセキュリティ体制を維持するために、一連のポリシー、制御手段、および技術的手段をまとめて使用し、クラウドインフラストラクチャ、データストレージ、データアクセス、およびアプリケーションを保護し、クラウドベースのビジネスをセキュリティの脅威から保護します。 クラウドセキュリティとコンプライアンスは、Alibaba Cloudとお客様の間で共通の責任です。 Alibaba Cloudのお客様は、クラウドベースのビジネスに関連するリスクに精通している必要があります。 また、運用上の負担を軽減し、セキュリティイベントによって引き起こされる資産の損失を防ぐために、包括的なセーフガードを設計および導入する必要があります。

    ECSの共有セキュリティ責任モデル

    ECSはAlibaba CloudのIaaSサービスです。 ECSのセキュリティは、Alibaba Cloudと顧客の間の共通の責任です。 共有セキュリティ責任モデルでは、ECSセキュリティをクラウドのセキュリティおよびクラウド内のセキュリティとして説明します。

    • クラウドのセキュリティ: Alibaba cloudはクラウドのセキュリティを担当します。 Alibaba Cloudは、ECSを実行するインフラストラクチャを保護し、ECSインスタンスをホストする物理ハードウェア、ソフトウェアサービス、ネットワークデバイス、管理サービスなど、安全に使用できるサービスとリソースを提供します。

    • クラウドのセキュリティ: ECSのセキュリティはお客様が担当します。 具体的には、ゲストOS (アップデートやセキュリティパッチを含む) を適切に管理し、ECSで実行されるアプリケーションやツールを保護し、ECSに出入りする情報の流れを監視および保護する必要があります。 セキュリティルールに準拠したネットワーク設定の実行、最小権限の原則に基づくECS権限の管理など、ECSおよびECSインスタンスでホストされているサービスを安全に設定してアクセスする必要があります。

    次の図は、ECSの共有セキュリティ責任モデルを示しています。

    image

    クラウドのセキュリティに対するAlibaba Cloudの責任

    Alibaba Cloudは、クラウドのセキュリティを強化するために、次の4つの保護層を提供します。

    • データセンターのセキュリティ: アリババクラウドのデータセンターは、GB50174 Code for Design of Electronic Information System RoomのクラスA規格およびデータセンターのTIA-942通信インフラストラクチャ規格のTier 3 + 規格に準拠して構築されています。

      • データセンターの災害復旧: アリババクラウドのデータセンターには、一定の温度と湿度を維持するホットスタンバイモードの火災センサー、煙センサー、精密空調システムが設置されている。 データセンターは、冗長電力システムによってバックアップされた公共電力会社によって電力供給されています。

      • 人事管理: 指紋や本人確認などの二要素認証を使用して、機械室、測定エリア、保管室にアクセスします。 特定の領域は、鉄のケージを使用して物理的に隔離されます。 厳格なアカウント管理、ID認証、承認管理、職務分離、およびアクセス制御が実装されています。

      • O&M監査: セキュリティ監視システムは、データセンターのさまざまな領域に設置されています。 生産システムは、要塞ホストを使用することによってのみ操作および維持できます。 すべての操作レコードはログされ、ログプラットフォームに保存されます。

    • 物理インフラセキュリティ: 物理インフラには、物理サーバー、ネットワークデバイス、およびストレージデバイスが含まれます。 物理インフラストラクチャのセキュリティは、クラウド内のデータセンターのセキュリティに依存し、パブリッククラウド内のサービスに追加のセキュリティ層を追加します。 Alibaba Cloudの物理インフラストラクチャを保護するために、以下の対策が講じられています。

      • データ破壊: アリババクラウドは、NIST Special Publication 800-88、Guidelines for Media Sanitizationの標準に基づいて、ストレージメディアからデータを安全に消去するメカニズムを開発している。 このメカニズムにより、アリババクラウドは、できるだけ早い機会にデータ資産を削除し、アリババクラウドが顧客のためのサービスを終了するときに、記憶媒体からデータを複数回サニタイズすることによってデータを完全に破壊することができる。

      • ストレージアセット管理: Alibaba Cloudは、ストレージアセットのきめ細かいストレージコンポーネントレベルの管理を提供し、固有のハードウェア識別情報を割り当てて、ストレージメディアまたはストレージメディアが存在する小型デバイスの検索を容易にします。 特定の要件に基づいて安全にサニタイズまたは物理的に破壊されていない記憶媒体は、データセンターまたはセキュリティ制御領域を離れることができない。

      • ネットワーク分離: Alibaba Cloudは、本番ネットワークを非本番ネットワークから分離し、ネットワークアクセス制御リスト (ACL) を使用して、クラウドサービスネットワークから物理ネットワークへのアクセスをブロックします。 要塞ホストは本番ネットワークのエッジに配置され、オフィスネットワークのO&M担当者は、要塞ホストでドメインアカウントと動的パスワードを使用して多要素認証ステップを実行することによってのみ本番ネットワークにアクセスできます。

    • 仮想化システムのセキュリティ: 仮想化は、コンピューティング、ストレージ、およびネットワークリソースの仮想表現を作成して、クラウドコンピューティング環境のテナントを分離できるクラウドコンピューティングの柱テクノロジーです。 Alibaba Cloudは、テナントの分離、セキュリティ強化、エスケープの検出と修正、ライブパッチ適用、データ消去などの仮想化セキュリティ技術を提供し、仮想化層を保護します。

      • ライブパッチ: 仮想化プラットフォームは、実行中のシステムにセキュリティパッチを適用できるライブパッチ手法をサポートしています。

      • データ消去: インスタンスがリリースされると、インスタンスに関連付けられているストレージメディアからデータが完全に消去されます。 これは、データセキュリティに向けた重要なステップです。

      • テナントの分離: ハードウェアベースの仮想化テクノロジーは、オペレーティングシステムレベルの分離を提供し、各仮想マシンを同じハードウェア上で実行される他の仮想マシンから分離します。 仮想マシンのゲストOSにアクセスできるテナントは、テナントがアクセスできない別の仮想マシンにアクセスするために、この分離層を破ることはできません。

        • コンピューティング分離: 仮想マシンは、管理システムおよび他の顧客の仮想マシンから分離されます。

        • ネットワーク分離: 各仮想ネットワークは他のネットワークから分離されます。

        • ストレージの分離: コンピューティング-ストレージの分離により、各仮想マシンは、使用可能にする物理ディスクにのみアクセスできます。

      • セキュリティ強化: 仮想化管理プログラムとホストOSまたはカーネルはセキュリティ強化されています。 仮想化ソフトウェアは、リンク全体を保護するために、信頼できる実行環境でコンパイルして実行する必要があります。

      • エスケープの検出と修正: 高度な仮想マシンレイアウトアルゴリズムを使用して、悪意のあるユーザーが特定の物理マシンで仮想マシンを実行したり、仮想マシンが実行されている物理ホスト環境を仮想マシンが検出したりするのを防ぎます。 仮想マシンの不審な動作が調査され、脆弱性がホットフィックスされます。

    • クラウドプラットフォームのセキュリティ: クラウドプラットフォームは、Alibaba CloudアカウントとRAMユーザーの管理、ログオンのための多要素認証など、クラウドベースのアカウント管理サービスを提供します。 クラウドプラットフォームは、きめ細かいアクセス許可や安全なアクセスなどのアクセス制御サービスも提供します。

    ECSのセキュリティに対するお客様の責任

    お客様はECSのセキュリティを担当し、ECSに入れたものまたは接続したものを保護します。 ECSインスタンスにOSアップデートパッチを適切にインストールし、適切なセキュリティグループルールを設定してECSインスタンスへの不正アクセスをブロックし、ECS上のデータを暗号化してデータセキュリティを強化する必要があります。

    Alibaba Cloudは、ビジネスセキュリティを強化するための要件に基づいてセキュリティ設定を実行するのに役立つ一連のセキュリティ管理および設定ツールを提供しています。 詳細については、以下のトピックをご参照ください。