アセットエクスポージャー分析機能を使用すると、Alibaba Cloudリソースを包括的にスキャンおよび分析し、インターネット上で公開される可能性のあるセキュリティリスクと脆弱性を特定できます。 リソースには、ECS (Elastic Compute Service) インスタンス、ゲートウェイアセット、システムコンポーネント、ポートが含まれます。 これは、クラウドリソースのセキュリティを向上させるために、できるだけ早い機会に問題を特定して解決するのに役立ちます。 このトピックでは、Security Centerのアセットエクスポージャー分析機能の使用方法について説明します。
制限事項
Security CenterのEnterpriseエディションとUltimateエディションのみがこの機能をサポートしています。 Security Centerの購入とアップグレード方法の詳細については、「Security Centerの購入」および「Security Centerのアップグレードとダウングレード」をご参照ください。
サポートされている資産タイプ
アセットエクスポージャー分析機能は、Alibaba Cloud ECSインスタンス、Tair (Redis OSS互換) 、ApsaraDB RDS、およびApsaraDB for MongoDBをサポートします。 この機能は、Alibaba Cloudにデプロイされていないアセットをサポートしていません。
統計値
アセットエクスポージャーの分析結果は、毎日自動的に更新されます。 アセット露出分析 ページには、インターネットで公開されている資産に関する統計と公開の詳細が表示されます。 次の表に、露出の統計を示します。
項目 | 説明 |
Exposed Assets/Public IP Addresses | インターネット上に公開されているECSインスタンス、Tair (Redis OSS互換) 、ApsaraDB RDS、ApsaraDB for MongoDB、およびパブリックIPアドレスの合計数。 |
Gateways | インターネット上に公開されているゲートウェイ資産の総数。 ゲートウェイアセットには、NATゲートウェイとServer Load Balancer (SLB) インスタンスが含まれます。 ゲートウェイの下の番号をクリックすると、Gateways パネルに移動できます。 パネルでは、インターネット上に公開されているゲートウェイアセットを表示できます。 公開されたゲートウェイアセットの名前をクリックして、アセットの詳細ページに移動することもできます。 |
Exposed Port | インターネット上で公開されているポートの総数。 公開ポートの下の番号をクリックして、Exposed Portパネルに移動します。 パネルでは、インターネット上で公開されているポートを表示できます。 公開されているポートの番号をクリックして、そのポートを使用しているアセットを表示することもできます。 |
Exposed Component | ECSインスタンスで実行され、インターネットに公開されているシステムコンポーネントの総数。 コンポーネントには、OpenSSLとOpenSSHが含まれます。 露出コンポーネントの下の数字をクリックすると、Exposed Componentパネルに移動できます。 パネルでは、インターネット上で公開されているコンポーネントを表示できます。 Exposed Componentの名前をクリックして、コンポーネントを使用するアセットを表示することもできます。 |
Exploitable Vulnerabilities | 攻撃者によって悪用される可能性のある脆弱性の総数と、高リスク、中リスク、および低リスクの脆弱性の数。 総数をクリックすると、[脆弱性] ページに移動できます。 さまざまな重症度の脆弱性はさまざまな色でマークされます。
|
Weak Password | インターネット上に公開されているECSインスタンスとデータベースで検出された弱いパスワードの総数。 弱いパスワードの下の番号をクリックすると、弱いパスワードが検出された公開アセットのリストが表示されます。 |
前提条件
ECSインスタンスにインストールされているSecurity Centerエージェントがオンラインです。 ホストアセット ページのECSインスタンスの クライアント 列にアイコンが表示されている場合、エージェントはオンラインです。
迅速な資産公開スキャン
Security Centerは、スキャンタスクを1日1回自動的に実行します。
攻撃パススキャンを手動で実行する
[アセット露出分析] ページで、[アセット露出スキャン] タブの [クイックスキャン] をクリックします。
タスク管理
Security Centerにはタスク管理機能があり、デフォルトで過去7日間の自動および手動スキャンタスクを記録します。
[資産公開分析] ページで、右上隅の [タスク管理] をクリックします。
[タスク管理] ページの [アセット公開] タブをクリックします。
選択したタスクタイプ、タスクステータス (未開始、進行中、データ収集待ち、データ収集、完了、タイムアウト、停止、失敗を含む) 、およびタスク開始日時に基づいて、タスクID、タイプ、時間、ステータス、進行状況を表示できます。
ターゲットタスクの [詳細] をクリックして、公開されたインスタンスの数、成功したインスタンス、失敗したインスタンス、アセットインスタンスのリストなど、スキャンタスクに関する詳細情報を表示します。
ステータスとインスタンスIDに基づいて、特定のアセットのスキャン結果を除外できます。
アセットエクスポージャーの詳細を表示
Security Centerコンソールにログイン 上部のナビゲーションバーで、保護するアセットのリージョンとして 中国 を選択します。
左側のナビゲーションウィンドウで、 を選択します。
アセット露出分析ページで、アセットエクスポージャーの詳細を表示します。
アセットエクスポージャーの全体的なデータの表示
アセット露出分析 ページの上部で、資産公開の全体的なデータを表示します。 データには、Weak PasswordとExploitable Vulnerabilitiesが含まれます。 各項目の下部にある番号をクリックすると、関連する詳細を表示できます。
公開されているアセットのリストの表示
[エクスポージャー分析] ページで検索条件を指定して、さまざまなディメンションでアセットのエクスポージャーを検索します。 たとえば、脆弱性が存在するかどうかを指定し、アセットグループを選択し、ポートを入力できます。
アセットのエクスポージャーの詳細の表示
公開の詳細を表示するアセットを見つけて、[操作] 列の Exposure Details をクリックします。 表示されるパネルで、アセットの通信リンクトポロジ、リンクの詳細、および検出された弱いパスワードと脆弱性に関する情報を表示します。
Exposure Details パネルの上部にあるアセットのドロップダウンリストをクリックして、ターゲットアセットの露出の詳細を表示します。
リスクの詳細を表示:
Weak Password タブをクリックして、検出された弱いパスワードの詳細を表示します。 弱いパスワード項目の名前をクリックすると、アセットの詳細ページに移動できます。 [ベースラインリスク] タブでは、アセットで検出されたすべてのベースラインリスクを表示できます。 攻撃者は、アセットの弱いパスワードを悪用してアセットにログオンし、データを盗んだり、アセットを侵害したりする可能性があります。 弱いパスワードはできるだけ早く変更することを推奨します。
Exploitable Vulnerabilities または All Vulnerabilities タブで、脆弱性のURLをクリックして、脆弱性の詳細ページに移動します。 詳細ページでは、脆弱性に関する情報を表示し、提供されている修正の提案に基づいて脆弱性を手動で修正できます。 リスクの高い脆弱性をできるだけ早く修正することを推奨します。
Risk-related Configurations タブで、設定評価で検出されたリスク項目をクリックして Cloud Service ページに移動し、リスクの詳細を表示して修正できます。
ビューの露出リンク:
ECSインスタンスまたはデータベースが複数の方法でインターネットにアクセスする場合、通信リンクトポロジにはインターネットにアクセスするための複数のパスが表示されます。 たとえば、ECSインスタンスがNATゲートウェイとSLBインスタンスを使用してインターネットにアクセスする場合、通信リンクトポロジにはインターネットにアクセスするための2つのパスが表示されます。 各アクセスパスのアセットをクリックすると、パスに切り替えてパスの詳細を表示できます。
説明通信リンクトポロジの異なる色は、各アセットで検出される脆弱性の異なる重大度を示す。
赤: アセットでリスクの高い脆弱性が検出されました。 これらの脆弱性は、攻撃者によってインターネット上で悪用される可能性があります。
オレンジ: アセットで中リスクの脆弱性が検出されました。 これらの脆弱性は、攻撃者によってインターネット上で悪用される可能性があります。
グレー: アセットに低リスクの脆弱性が検出されました。 これらの脆弱性は、攻撃者によってインターネット上で悪用される可能性があります。
緑: 攻撃者がインターネット上で悪用する可能性のある弱いパスワードや脆弱性は、アセット上で検出されません。
色と脆弱性の重大度の間のマッピングは、アセットにのみ適用されます。 マッピングは、インターネットなどの通信リンクトポロジ内の他のコンポーネントには適用されません。 デフォルトでは、インターネットを示すアイコンは灰色です。
アセットエクスポージャーのデータのエクスポート
公開されている資産リストの右上隅にある画像をクリックして、資産公開の詳細をエクスポートし、コンピューターに保存します。 エクスポートされたファイルはExcel形式です。
関連ドキュメント
インターネット上のECSインスタンスのエクスポージャーを減らす場合は、次のトピックを参照してください。
アセットで検出された脆弱性を処理する場合は、次のトピックを参照してください。
システムの弱いパスワードを変更する場合は、次のトピックを参照してください。