すべてのプロダクト
Search

このプロダクト

    Security Center:Terraformを使用したセキュリティセンターの有効化

    ドキュメントセンター

    Security Center:Terraformを使用したセキュリティセンターの有効化

    最終更新日:Jul 22, 2024

    Terraformは、HashiCorpによって提供されるオープンソースの開発者ツールです。 Terraformでは、コードを使用してクラウドインフラストラクチャを管理できます。 Alibaba Cloudは、Terraformとの統合をサポートする主流のクラウドサービスプロバイダーの1つです。 Alibaba Cloudは、Terraformで複数のSecurity Center関連のリソースとデータソースをリリースしました。 Terraformを使用して、ビジネス要件を満たすリソースを管理できます。 たとえば、簡単なコードを使用して、クラウドインフラストラクチャの自動展開と継続的な拡張を行うことができます。 このトピックでは、Terraformを使用してSecurity Centerを有効化する方法について説明します。

    前提条件

    Terraformランタイム環境がインストールされています。 Alibaba Cloudでは、次の方法に基づいてTerraformを使用できます。

    • Terraformをコンピューターにインストールして設定する: 開発環境に基づいてTerraformをインストールし、Alibaba Cloud認証情報を設定する必要があります。

      Terraformのバージョンが0.14以降で、alicloudのバージョンが1.199.0以降であることを確認してください。

    • Cloud ShellでTerraformを使用する: TerraformコンポーネントはCloud Shellにプリインストールされ、認証資格情報が設定されます。 Cloud Shellにログインした後、Cloud ShellでTerraformコマンドを実行できます。

    ビジネス要件と使用習慣に基づいて、上記の方法のいずれかを選択できます。 このトピックでは、Cloud Shellでセキュリティセンターを有効化する方法の例を示します。

    セキュリティセンターの有効化

    1. 実行ディレクトリを作成し、実行ディレクトリに移動します。 

      mkdir /usr/local/terraform
cd /usr/local/terraform
      説明

      Terraformプロジェクトごとに実行ディレクトリを作成する必要があります。

    2. terraform.tfという名前のファイルを作成し、ファイルを設定します。 

      vim terraform.tf

      次のコードに基づいてterraform.tfファイルを設定します。

      resource "alicloud_threat_detection_instance" "default" {
  version_code           = "level2"
  buy_number             = "30"
  payment_type           = "Subscription"
  period                 = 1
  renewal_status         = "ManualRenewal"
  sas_sls_storage        = "100"
  sas_anti_ransomware    = "100"
  container_image_scan   = "30"
  sas_webguard_boolean	 = "1"
  sas_webguard_order_num = "100"
  honeypot_switch        = "1"
  honeypot               = "32"
  sas_sdk_switch         = "1"
  sas_sdk                = "1000"
}

      パラメーター

      必須

      説明

      version_code

      セキュリティセンターの版。 有効な値:

      • level7: アンチウイルス版

      • level3: 高度なエディション

      • level2: エンタープライズ版

      • level8: 究極のエディション

      • level10: 付加価値プランエディション

      level2

      buy_number

      任意

      Security Centerを使用して保護するサーバーの数。

      説明

      このパラメーターは、version_codelevel3level2、またはlevel8に設定されている場合にのみ必要です。

      30

      v_core

      任意

      Security Centerを使用して保護するサーバーのコア数。

      説明

      このパラメーターは、version_codelevel7またはlevel8に設定されている場合にのみ必要です。

      100

      payment_type

      課金方法です。 有効な値:

      • サブスクリプション

      サブスクリプション

      period

      任意

      サブスクリプション期間です。 単位:月。

      有効な値: 1612243660

      1

      renewal_status

      任意

      更新方法。 有効な値:

      • 自動更新

      • ManualRenewal (デフォルト)

      ManualRenewal

      renewal_period

      任意

      自動更新期間。 単位:月。

      説明

      このパラメーターは、renew_statusAutoRenewalに設定されている場合にのみ必要です。

      12

      sas_sls_storage

      任意

      ログストレージ容量。 単位は GB です。

      有効な値: 0 ~ 600000 値は10の倍数でなければなりません。

      説明

      中華人民共和国のサイバーセキュリティ法は、ログを少なくとも180日間保持する必要があると規定しています。 ログを保存するために、各サーバーに40 GBのログストレージ容量を割り当てることを推奨します。

      100

      sas_anti_ransomware

      任意

      ランサムウェア対策の能力。 単位は GB です。

      有効な値: 10 ~ 9999999999 値は10の倍数でなければなりません。

      100

      container_image_scan

      任意

      コンテナーイメージスキャンのクォータ。 毎月スキャンする画像の数に値を設定することを推奨します。

      有効な値: 0 ~ 200000 値は20の倍数でなければなりません。

      説明

      Security Centerは、一意のダイジェスト値に基づいて画像を識別します。 イメージのダイジェスト値が変更されない場合、Container image Scanで指定されたクォータは、最初のスキャンでのみ1だけ差し引かれます。 イメージのダイジェスト値が変更され、イメージが再度スキャンされると、Container image Scanで指定されたクォータが再度差し引かれます。 クォータは、ダイジェスト値が変更されるたびに1ずつ差し引かれます。 たとえば、10枚の画像をスキャンし、サブスクリプション内で画像のダイジェスト値が変更される推定合計回数が20回である場合、Container Image scanを30に設定します。 これは、Container Image Scanの値が、スキャンする画像の数にダイジェスト値の変更回数を加えたものと等しいことを示します。

      30

      sas_webguard_boolean

      任意

      web改ざん防止を有効にするかどうかを指定します。 有効な値:

      • 1: はい

      • 0: なし

      1

      sas_webguard_order_num

      任意

      web改ざん防止のクォータ。

      有効な値: 0 ~ 9999

      説明

      このパラメーターは、sas_webguard_boolean1に設定されている場合にのみ必要です。

      100

      honeypot_switch

      任意

      クラウドハニーポットを有効にするかどうかを指定します。 有効な値:

      • 1: はい

      • 2: なし

      1

      ハニーポット

      任意

      クラウドハニーポットのクォータ。

      有効値:20〜500。

      説明

      このパラメーターは、honeypot_switch1に設定されている場合にのみ必要です。

      20

      sas_sdk_switch

      任意

      悪意のあるファイル検出に対してSDKを有効にするかどうかを指定します。 有効な値:

      • 1: はい

      • 0: なし

      1

      sas_sdk

      任意

      悪意のあるファイル検出のためのSDKのクォータ。 単位: 10,000回。

      有効な値: 10 ~ 9999999999 値は10の倍数でなければなりません。

      10

    3. terraform initコマンドを実行してTerraformを初期化します。

      次の情報が返されると、Terraformは初期化されます。

      Terraform has been successfully initialized!

    4. terraform planコマンドを実行して、実行プランを作成します。

    5. terraform applyコマンドを実行し、Security Centerを有効化します。

    6. Cloud Shellが次の情報を返す場合、yesと入力します。 

      Do you want to perform these actions?
  Terraform will perform the actions described above.
  Only 'yes' will be accepted to approve.

  Enter a value:

      次の情報が返された場合、セキュリティセンターは有効化されます。

      Apply complete! Resources: 1 added, 0 changed, 0 destroyed.

    Security Centerのアップグレードとダウングレード

    Terraformを使用して、Security Centerをアップグレードまたはダウングレードできます。

    1. 実行ディレクトリを作成し、実行ディレクトリに移動します。 

      mkdir /usr/local/terraform
cd /usr/local/terraform
      説明

      Terraformプロジェクトごとに実行ディレクトリを作成する必要があります。

    2. terraform.tfという名前のファイルを作成し、ファイルを設定します。 

      vim terraform.tf

      次のコードに基づいてterraform.tfファイルを設定します。

      resource "alicloud_threat_detection_instance" "default" {
  modify_type            = "Upgrade"
  version_code           = "level2"
  buy_number             = "30"
  payment_type           = "Subscription"
  period                 = 1
  renewal_status         = "ManualRenewal"
  sas_sls_storage        = "100"
  sas_anti_ransomware    = "100"
  container_image_scan   = "30"
  sas_webguard_boolean	 = "1"
  sas_webguard_order_num = "100"
  honeypot_switch        = "1"
  honeypot               = "32"
  sas_sdk_switch         = "1"
  sas_sdk                = "1000"
}

      パラメーター

      必須

      説明

      modify_type

      Security Centerをアップグレードするかダウングレードするかを指定します。 有効な値:

      • アップグレード

      • ダウングレード

      アップグレード

      version_code

      セキュリティセンターの版。 有効な値:

      • level7: アンチウイルス版

      • level3: 高度なエディション

      • level2: エンタープライズ版

      • level8: 究極のエディション

      • level10: 付加価値プランエディション

      level2

      buy_number

      任意

      Security Centerを使用して保護するサーバーの数。

      説明

      このパラメーターは、version_codelevel3level2、またはlevel8に設定されている場合にのみ必要です。

      30

      v_core

      任意

      Security Centerを使用して保護するサーバーのコア数。

      説明

      このパラメーターは、version_codelevel7またはlevel8に設定されている場合にのみ必要です。

      100

      payment_type

      課金方法です。 有効な値:

      • サブスクリプション

      サブスクリプション

      period

      任意

      サブスクリプション期間です。 単位:月。

      有効な値: 1612243660

      1

      renewal_status

      任意

      更新方法。 有効な値:

      • 自動更新

      • ManualRenewal (デフォルト)

      ManualRenewal

      renewal_period

      任意

      自動更新期間。 単位:月。

      説明

      このパラメーターは、renew_statusAutoRenewalに設定されている場合にのみ必要です。

      12

      sas_sls_storage

      任意

      ログストレージ容量。 単位は GB です。

      有効な値: 0 ~ 600000 値は10の倍数でなければなりません。

      説明

      中華人民共和国のサイバーセキュリティ法は、ログを少なくとも180日間保持する必要があると規定しています。 ログを保存するために、各サーバーに40 GBのログストレージ容量を割り当てることを推奨します。

      100

      sas_anti_ransomware

      任意

      ランサムウェア対策の能力。 単位は GB です。

      有効な値: 10 ~ 9999999999 値は10の倍数でなければなりません。

      100

      container_image_scan

      任意

      コンテナーイメージスキャンのクォータ。 毎月スキャンする画像の数に値を設定することを推奨します。

      有効な値: 0 ~ 200000 値は20の倍数でなければなりません。

      説明

      Security Centerは、一意のダイジェスト値に基づいて画像を識別します。 イメージのダイジェスト値が変更されない場合、Container image Scanで指定されたクォータは、最初のスキャンでのみ1だけ差し引かれます。 イメージのダイジェスト値が変更され、イメージが再度スキャンされると、Container image Scanで指定されたクォータが再度差し引かれます。 クォータは、ダイジェスト値が変更されるたびに1ずつ差し引かれます。 たとえば、10枚の画像をスキャンし、サブスクリプション内で画像のダイジェスト値が変更される推定合計回数が20回である場合、Container Image scanを30に設定します。 これは、Container Image Scanの値が、スキャンする画像の数にダイジェスト値の変更回数を加えたものと等しいことを示します。

      30

      sas_webguard_boolean

      任意

      web改ざん防止を有効にするかどうかを指定します。 有効な値:

      • 1: はい

      • 0: なし

      1

      sas_webguard_order_num

      任意

      web改ざん防止のクォータ。

      有効な値: 0 ~ 9999

      説明

      このパラメーターは、sas_webguard_boolean1に設定されている場合にのみ必要です。

      100

      honeypot_switch

      任意

      クラウドハニーポットを有効にするかどうかを指定します。 有効な値:

      • 1: はい

      • 2: なし

      1

      ハニーポット

      任意

      クラウドハニーポットのクォータ。

      有効値:20〜500。

      説明

      このパラメーターは、honeypot_switch1に設定されている場合にのみ必要です。

      20

      sas_sdk_switch

      任意

      悪意のあるファイル検出に対してSDKを有効にするかどうかを指定します。 有効な値:

      • 1: はい

      • 0: なし

      1

      sas_sdk

      任意

      悪意のあるファイル検出のためのSDKのクォータ。 単位: 10,000回。

      有効な値: 10 ~ 9999999999 値は10の倍数でなければなりません。

      10

    3. terraform initコマンドを実行してTerraformを初期化します。

      次の情報が返されると、Terraformは初期化されます。

      Terraform has been successfully initialized!

    4. terraform planコマンドを実行して、実行プランを作成します。

    5. terraform applyコマンドを実行し、Security Centerの仕様を変更します。

    6. Cloud Shellが次の情報を返す場合、yesと入力します。 

      Do you want to perform these actions?
  Terraform will perform the actions described above.
  Only 'yes' will be accepted to approve.

  Enter a value:

      次の情報が返された場合は、仕様が変更されます。

      Apply complete! Resources: 1 added, 0 changed, 0 destroyed.

    関連ドキュメント