ウイルスや攻撃者は、サーバーのセキュリティ構成の欠陥を悪用して、サーバーに侵入してデータを盗んだり、Webシェルを挿入したりする可能性があります。 ベースラインチェック機能は、サーバーのオペレーティングシステム、データベース、ソフトウェア、およびコンテナーの構成をチェックします。 これにより、資産のセキュリティを強化し、侵入のリスクを軽減し、チェック結果に基づいてセキュリティコンプライアンス要件を満たすことができます。 このトピックでは、ベースラインチェック機能とその使用方法について説明します。
制限事項
ベースラインチェック機能を有効にして使用できるのは、Security Center Advanced、Enterprise、およびUltimateのユーザーのみです。
Security Center EnterpriseおよびUltimateは、次の機能をサポートしています。
Ultimateエディションは、ベースラインチェック機能によって提供されるすべての機能をサポートします。 Enterpriseエディションは、コンテナーセキュリティタイプのベースラインをサポートしていません。
Alibaba Cloud標準またはMulti-Level Protection Scheme (MLPS) 標準に基づくLinuxサーバーで検出されるベースラインリスクの迅速な修正。
Security Center Advancedは、次の機能をサポートしています。
デフォルトのベースラインチェックポリシーのみに基づくベースラインチェック。
弱いパスワードタイプのベースライン。
機能の説明
ベースラインチェック機能を使用すると、さまざまなベースラインチェックポリシーを設定できます。 ポリシーを使用して、一度に複数のサーバーをスキャンし、オペレーティングシステムの構成、アカウントのアクセス許可、データベース、弱いパスワード、およびMLPSコンプライアンスのリスクを検出できます。 ベースラインチェック機能は、ベースラインリスクを修正する方法についての提案も提供し、数回クリックするだけでリスクを修正できます。 サポートされているベースラインチェックの詳細については、「ベースライン」をご参照ください。
条件
用語 | 説明 |
ベースライン | ベースラインは、セキュリティ対策とコンプライアンスチェックの最小要件です。 ベースラインチェック機能は、弱いパスワード、アカウント権限、ID認証、パスワードポリシー、アクセス制御、セキュリティ監査、侵入防止など、オペレーティングシステム、データベース、ミドルウェアのさまざまな構成をチェックします。 |
弱いパスワード | 弱いパスワードは、ブルートフォース攻撃を開始することで簡単に解読または解読できます。 ほとんどの場合、弱いパスワードには次の特性の少なくとも1つがあります。パスワードには8文字未満が含まれます。 パスワードには3種類未満の文字が含まれます。 パスワードは、インターネット上で公開されている、または悪意のあるソフトウェアによって使用されている攻撃者の辞書にあります。 弱いパスワードは簡単に解読できます。 攻撃者が弱いパスワードを解読した場合、攻撃者はオペレーティングシステムにログオンし、Webサイトコードを読み取って変更できます。 パスワードが弱いと、オペレーティングシステムとビジネスが攻撃に対して脆弱になる可能性があることに注意してください。 |
ポリシー
ポリシーは、Security Centerのベースラインチェックルールのコレクションです。 ベースラインチェックは、ポリシーに基づいて実行される。 Security Centerには、デフォルトのベースラインチェック、標準のベースラインチェック、カスタムのベースラインチェックポリシーが用意されています。
ポリシータイプ | Security Center edition | ベースライン型 | シナリオ |
デフォルトのベースラインチェックポリシー |
| デフォルトのベースラインチェックポリシーには、70を超えるベースラインが含まれます。 次のベースラインタイプがサポートされています。
重要
| デフォルトでは、Security Centerはデフォルトのベースラインチェックポリシーに基づいてベースラインチェックを実行します。 変更できるのは、開始時刻と、デフォルトのベースラインチェックポリシーが適用されているサーバーのみです。 Security Center Advanced、Enterprise、またはUltimateを購入すると、2日ごとに、またはデフォルトのベースラインチェックポリシーに基づいて指定した時間帯に、Alibaba Cloudアカウント内のすべてのアセットがチェックされます。 |
標準ベースラインチェックポリシー |
| 標準のベースラインチェックポリシーには、120を超えるベースラインが含まれます。 次のベースラインタイプがサポートされています。
重要 Security Center Enterpriseは、コンテナーセキュリティタイプのベースラインをサポートしていません。 | 標準のベースラインチェックポリシーは、デフォルトのベースラインチェックポリシーと比較して、MLPSコンプライアンスや国際的に合意されたセキュリティのベストプラクティスなど、より多くのベースラインタイプをサポートしています。 2種類のポリシーの両方でサポートされているベースラインタイプの場合、標準ベースラインチェックポリシーはより多くのベースラインをサポートします。 標準ベースラインチェックポリシーのパラメーターを変更できます。 ビジネス要件に基づいて、標準のベースラインチェックポリシーを作成することもできます。 |
カスタムベースラインチェックポリシー |
| カスタムベースラインチェックポリシーには、50を超えるベースラインが含まれます。 次のカスタムベースラインタイプがサポートされています。
| カスタムベースラインチェックポリシーは、オペレーティングシステムのカスタムベースラインに基づいて、アセットの構成にリスクが存在するかどうかをチェックするために使用されます。 ビジネスにベースラインチェックポリシーを適用するには、アセットのポリシーでベースラインチェック項目を指定し、一部のベースラインのパラメーターを変更します。 |
メリット
MLPSコンプライアンス
既存の構成とMLPSレベル2およびレベル3の標準、および国際的に合意されたセキュリティのベストプラクティスをチェックし、コンプライアンスおよび規制要件を満たします。 これにより、企業はMLPSコンプライアンス要件を満たすセキュリティシステムを構築できます。
包括的な検出スコープ
弱いパスワード、不正アクセス、脆弱性、および構成リスクについてベースライン構成をチェックします。 この機能は、30を超えるバージョンのオペレーティングシステムと、20を超えるタイプのデータベースおよびミドルウェアで利用できます。
柔軟なポリシー設定
カスタムセキュリティポリシーの設定、間隔のチェック、範囲のチェックを行うことができます。 これにより、さまざまなビジネスのセキュリティ構成要件を満たすことができます。
修正ソリューション
チェックアイテムで検出されたリスクを修正するソリューションを提供し、資産のセキュリティをすばやく強化するのに役立ちます。 クイック修正機能は、システムのベースライン構成を強化し、システムがMLPSコンプライアンス要件を満たすのに役立ちます。
手順1: ベースラインチェック機能の有効化
ベースラインチェック機能を使用するには、Security Center Advanced、Enterprise、またはUltimateを購入してください。 セキュリティセンターを購入するには、次の手順を実行します。
セキュリティセンターを購入しなかった場合は、
Security Centerの購入ページで、Security Center Advanced、Enterprise、またはUltimateを購入できます。 詳細については、「Security Center の購入」をご参照ください。Security Center BasicまたはAnti-virusを使用する場合は、次の手順を実行します。
Security Center コンソールにログインします。 上部のナビゲーションバーで、保護するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
[今すぐアップグレード] をクリックして、Security Center Advanced、Enterprise、またはUltimateを購入します。
ベースラインチェックを実行するサーバーにSecurity Centerエージェントをインストールします。 詳細については、「Security Centerエージェントのインストール」をご参照ください。
説明システムがデフォルトのベースラインチェックポリシーに基づいてベースラインチェックを実行すると、システムはSecurity Centerエージェントがインストールされているサーバーとオンラインをチェックします。 サーバーグループを使用して、デフォルトのベースラインチェックポリシー、標準のベースラインチェックポリシー、またはカスタムのベースラインチェックポリシーを適用するサーバーを選択できます。
手順2: (オプション) ベースラインチェックポリシーの管理
デフォルトのベースラインチェックポリシーには、特定のベースラインタイプの70を超えるベースラインが含まれます。 ビジネス要件に最適にするために、他のタイプのベースラインチェックポリシーを作成し、ポリシーのベースラインを設定できます。
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
の右上隅にベースラインチェックページをクリックします。ポリシー管理.
On theスキャンポリシーのタブポリシー管理パネルで、ビジネス要件に基づいてベースラインチェックポリシーを作成します。
スキャンポリシーの管理
[スキャンポリシー] タブでは、標準およびカスタムのベースラインチェックポリシーを作成したり、ビジネス要件に基づいて既存のポリシーを更新したりできます。
標準ベースラインチェックポリシーの作成
標準のベースラインチェックポリシーを作成して、アセットのベースライン構成を包括的にチェックできます。 Security Centerは、作成したベースラインチェックポリシーに基づいて、アセットのベースラインチェックを実行します。
[標準ポリシーの作成] をクリックします。
[ベースラインチェックポリシー] パネルで、[ポリシー名] 、[スケジュール] 、[開始時間のチェック] 、[ベースラインカテゴリ] 、および [ベースライン名] パラメーターを設定します。
ベースラインチェックの詳細については、「ベースライン」をご参照ください。
説明ビジネス要件に基づいて、一部のカスタムベースラインのパラメーターを変更できます。
ベースラインチェックポリシーが適用されるサーバーを選択し、[Ok] をクリックします。
パラメーター
説明
スキャン方法
サーバーをスキャンする方法。 有効な値:
グループ: Security Centerはサーバーグループごとにサーバーをスキャンします。 1つ以上のサーバーグループを選択できます。
ECS: Security CenterはECSインスタンスをスキャンします。 サーバーグループ間で一部またはすべてのECSインスタンスを選択できます。
有効サーバー
ベースラインチェックポリシーが適用されるサーバー。
説明デフォルトでは、新しく購入したサーバーは サーバーの管理」をご参照ください。
に属します。 新しく購入したサーバーにポリシーを適用するには、[デフォルト] を選択する必要があります。 サーバーグループを作成または変更する方法の詳細については、「
カスタムベースラインチェックポリシーの作成
カスタムベースラインチェックポリシーを作成して、オペレーティングシステムのカスタムベースラインに基づいて、アセットの構成にリスクが存在するかどうかを確認できます。
[カスタムポリシーの作成] をクリックします。
[ポリシーのチェック] パネルで、[ポリシー名] 、[スケジュール] 、および [開始時間のチェック] パラメーターを設定します。 次に、[ベースライン名] セクションで設定を行います。
ベースラインチェックの詳細については、「ベースライン」をご参照ください。
ベースラインチェックポリシーが適用されるサーバーを選択し、[Ok] をクリックします。 カスタムのベースラインチェックポリシーが作成されます。
パラメーター
説明
スキャン方法
サーバーをスキャンする方法。 有効な値:
グループ: Security Centerはサーバーグループごとにサーバーをスキャンします。 1つ以上のサーバーグループを選択できます。
ECS: Security CenterはECSインスタンスをスキャンします。 サーバーグループ間で一部またはすべてのECSインスタンスを選択できます。
有効サーバー
ベースラインチェックポリシーが適用されるサーバー。
説明同じサーバーグループに属するサーバーに適用できるカスタムベースラインチェックポリシーは1つだけです。 既存のカスタムベースラインチェックポリシーにサーバーグループが選択されている場合、カスタムベースラインチェックポリシーを作成するときに、[有効なサーバー] パラメーターにサーバーグループを選択できなくなります。
デフォルトでは、新しく購入したサーバーは サーバーグループ、重要度レベル、およびタグの管理」をご参照ください。
に属します。 新しく購入したサーバーにポリシーを適用するには、[デフォルト] を選択する必要があります。 サーバーグループを作成または変更する方法の詳細については、「
ベースラインチェックポリシーの更新
ベースラインチェックポリシーを見つけ、[操作] 列の [編集] または [削除] をクリックして、ビジネス要件に基づいてポリシーを変更または削除できます。
説明ポリシーを削除すると、ポリシーを復元できません。
デフォルトのベースラインチェックポリシーを削除したり、デフォルトのベースラインチェックポリシーのベースラインチェック項目を変更したりすることはできません。 デフォルトのベースラインチェックポリシーの [チェック開始時間] および [有効サーバー] パラメーターのみを変更できます。
ベースラインチェックレベルの設定
[ポリシー管理] パネルの下部で、ベースラインチェック項目レベルを設定できます。 有効な値: High、Medium、Low。 この設定は、すべてのベースラインチェックポリシーで有効になります。
カスタムの弱いパスワードルールの追加
Security Centerは、組み込みの弱いパスワードルールを提供します。 ビジネス要件に基づいて、Security Centerコンソールでカスタムの弱いパスワードルールを追加することもできます。 カスタムの弱いパスワードルールを追加するには、ポリシー管理パネルに移動し、[カスタムの弱いパスワードルール] タブをクリックして、[ファイルのアップロード] タブでファイルをアップロードするか、[カスタム辞書] タブで弱いパスワードを生成します。
ベースラインチェックポリシーで弱いパスワードチェック項目を設定した後、Security Centerは、カスタムの弱いパスワードルールに基づいてアセットに弱いパスワードが設定されているかどうかを確認します。
ファイルをアップロードする前に、次の要件が満たされていることを確認してください。
ファイルのサイズは40 KBを超えることはできません。
ファイルの各行には弱いパスワードが1つだけ含まれています。 そうしないと、Security Centerは弱いパスワードを正確に検出できません。
ファイルには最大3,000の弱いパスワードが含まれています。
アップロードされたファイル内のカスタムの弱いパスワードルールは、既存のカスタムの弱いパスワードルールを上書きします。
カスタム辞書を使用して、上書きまたは追加モードでカスタムの弱いパスワードルールを作成できます。
ファイルのアップロードによるカスタムの弱いパスワードルールの追加
Security Centerは、カスタムルールに基づいてアセットに弱いパスワードが設定されているかどうかをチェックします。
[ファイルのアップロード] タブで、[テンプレートのダウンロード] をクリックします。
ビジネス要件に基づいて、ダウンロードしたテンプレートで弱いパスワードルールを設定し、テンプレートを保存します。
[ファイルをドラッグ&ドロップしてアップロード] セクションをクリックして、テンプレートをアップロードします。
カスタム辞書を使用してカスタムの弱いパスワードルールを上書きまたは追加する
[カスタム辞書] タブで、[再生成] をクリックします。
カスタム辞書を設定します。 下表に、各パラメーターを説明します。
パラメーター
説明
ドメイン
アセットのドメイン名。
会社名
あなたの企業の名前。
キーワード
辞書に追加するパスワード。
[Dictionaryで弱いパスワードを生成] をクリックします。
すべての弱いパスワードは、[辞書の弱いパスワード] セクションで表示できます。 弱いパスワードを追加、変更、削除できます。
次のいずれかの方法を使用して、辞書の設定を完了します。
[追加] をクリックし、[OK] をクリックして、生成した辞書を既存の弱いパスワードルールに追加します。
[上書き] をクリックし、[OK] をクリックして、既存のすべての弱いパスワードルールを生成した辞書で上書きします。
ベースラインホワイトリストの設定
特定のタイプのベースラインチェック項目の一部がすべてのサーバーまたは特定のサーバーにセキュリティリスクをもたらさない場合、ベースラインチェック項目をベースラインホワイトリストに追加できます。 サーバーのベースラインチェック項目をベースラインホワイトリストに追加すると、Security Centerはベースラインチェック項目に基づいて検出されたリスクを無視します。
[ベースラインホワイトリスト] タブで、[ルールの作成] をクリックします。
[ベースラインホワイトリストルールの作成] パネルで、[項目の種類の確認] および [項目の確認] パラメーターを設定します。
[ルールスコープ] セクションで、[すべてのサーバー] タブをクリックするか、[特定のサーバー] タブをクリックして、管理するサーバーを選択します。
[保存] をクリックします。
必要に応じて、 [ベースラインホワイトリスト] タブで、管理するルールを見つけ、ルールを変更または削除します。
[操作] 列の [編集] をクリックして、[ルールスコープ] パラメーターを変更します。 この操作では、ベースラインホワイトリストからサーバーを削除したり、ベースラインホワイトリストにサーバーを追加したりできます。
[操作] 列の [削除] をクリックしてルールを削除し、ルールで指定されたサーバーのベースラインチェックを復元します。
手順3: ベースラインチェックポリシーに基づくベースラインチェックの実行
ベースラインチェック機能は、定期的および自動チェックと手動チェックをサポートします。 チェックモードを次に示します。
定期チェックと自動チェック: デフォルト、標準、またはカスタムのベースラインチェックポリシーに基づいて自動的に実行される定期チェック。 Security Centerは、2日ごとに00:00から06:00まで、またはデフォルトのベースラインチェックポリシーに基づいて指定した時間帯に包括的なベースラインチェックを実行します。
手動チェック: カスタムのベースラインチェックポリシーを作成または変更した場合は、[ベースラインチェック] ページで選択し、[今すぐチェック] をクリックして手動チェックを開始できます。 手動ベースラインチェックを使用すると、ベースラインリスクをリアルタイムでスキャンできます。
すぐにベースラインチェックを実行するには、次の手順を実行します。
(推奨) [リスクの詳細] タブ:
チェック項目統計セクションの右側にある [今すぐスキャン] をクリックします。
[ポリシーでスキャン] パネルで対象のポリシーを選択し、[操作] 列の [スキャン] をクリックしてベースラインチェックを実行します。
[ベースラインチェックポリシー] タブ:
[ベースラインチェック] ページの [ベースラインチェックポリシー] タブで、[すべてのポリシー] の右側にあるアイコンをクリックして、既存のすべてのベースラインチェックポリシーを表示します。 次に、ベースラインチェックをすぐに実行するために使用するベースラインチェックポリシーを選択します。
クリック今すぐチェック.
ポインタを [今すぐチェック] の上に移動します。 表示されるツールチップで、[進行状況の表示] をクリックしてチェックの進行状況を表示します。
ステップ4: ベースラインチェックの結果と提案を表示する
Security Centerは、ベースライン名とチェック項目名でベースラインチェック結果を表示します。 セキュリティセンターは、リスク項目に関する提案も提供しています。
[ベースラインチェック] ページの上部に、アセットで検出されたベースラインリスクに関する全体的な情報が表示されます。 ベースラインリスクは、セキュリティベースライン、コンプライアンスベースライン、およびカスタムベースラインを使用して検出されます。 合格した項目と特定されたリスクのある項目の両方が表示されます。
[ベースラインチェックポリシー] タブで、次の情報を表示します。
すべてのベースラインチェックポリシーまたは単一のベースラインチェックポリシーのチェック結果
[ベースラインチェックポリシー] タブのポリシーの概要セクションで、アイコンをクリックしてすべてのベースラインチェックポリシーを表示し、[すべてのポリシー] またはベースラインチェックポリシーを選択します。 [チェック済みサーバー] 、[ベースライン] 、[パスワードの弱いリスクが高い] 、[最終チェック合格率] などのポリシー情報が表示されます。 デフォルトでは、[ベースラインチェックポリシー] タブに [デフォルト] ポリシーに関する情報が表示されます。
弱いパスワードの高リスクの下の数字をクリックすると、検出された弱いパスワードの高リスクがすべて表示されます。
重要パスワードのリスクが弱いのは、重大度が高リスクです。 弱いパスワードが検出される危険性の高い項目をできるだけ早く修正することを推奨します。 一般的なシステムでパスワードセキュリティを強化し、パスワードを変更する方法の詳細については、「パスワードセキュリティの強化」をご参照ください。
次のリストは、Last Check Pass Rateの下の数字の色の意味を説明しています。
グリーン: チェックアイテムの高合格率。
赤: チェックアイテムの低合格率。 各チェック項目の詳細に移動し、検出されたベースラインリスクを修正することを推奨します。
ベースライン名と提案によって表示されるベースラインチェック結果のリスト
ベースラインチェック結果のリストで、ベースラインの名前をクリックして、ベースラインの詳細パネルに移動します。 ベースラインの詳細パネルで、影響を受ける資産、合格アイテム、ベースラインのリスクアイテムなどの情報を表示します。
ベースライン詳細パネルで、影響を受けるアセットを見つけ、[操作] 列の [表示] をクリックします。 [リスク項目] パネルで、影響を受ける資産のすべてのベースラインリスクを表示します。
説明チェック項目が [合格] 状態の場合、サーバーの関連構成にリスクはありません。
たとえば、Redisデータベースにパスワードを設定しないと、Redisデータベースに直接アクセスできます。 また、RedisデータベースをIPアドレス127.0.0.1にバインドすると、ローカルホストからのアクセスのみが許可されます。 この場合、Redisデータベースの不正アクセスタイプのベースラインチェックの最終結果が渡され、関連するベースラインリスクは報告されません。 ビジネス要件に基づいてアクセス制御ポリシーを設定するかどうかを選択できます。
[リスクアイテム] パネルで、詳細を表示するリスクアイテムを見つけ、[操作] 列の [詳細] をクリックします。 表示されるメッセージで、[説明] 、[ヒントの確認] 、[提案] などのリスク項目に関する情報を表示します。
オプション: ベースライン詳細パネルに戻ります。 ベースラインチェック結果のリストの右上にあるアイコンをクリックします。 [ベースラインのエクスポートタスクの選択] ダイアログボックスで、エクスポート方法を選択し、[エクスポート] をクリックして、ベースラインチェック結果のリストをエクスポートします。
次のいずれかのエクスポート方法を選択して、ベースラインチェック結果で弱いパスワードをエクスポートできます。
弱いパスワードを平文でエクスポート: 弱いパスワードが平文であるチェック結果をエクスポートします。
弱いパスワードのマスクとエクスポート: 結果の弱いパスワードがマスクされた後、チェック結果をエクスポートします。
チェック項目名でベースラインチェック結果を表示する [リスクの詳細] タブで、リスク項目の提案を表示します。
失敗したチェックアイテムと処理済みチェックアイテムを表示します。
[チェック項目の統計] セクションで、[失敗] または [処理済みチェック項目の合計] の数字をクリックして、失敗した、または処理された特定の項目を確認します。
説明過去30日間の失敗したアイテムのみが利用可能ですが、処理されたアイテムは365日間保持されます。 リリースされたアセットは統計から除外されます。
ターゲットチェック項目に関する詳細情報とリスク項目に対処するための提案を表示します。
ベースラインのチェック结果一覧の上部に, レベル, ステータス, タイプなどの検索条件を指定して, チェック项目を検索します。 また、検索ボックスにチェック項目の名前を入力して、チェック項目を検索することもできます。
詳細を表示するチェック項目を見つけ、[操作] 列の [詳細] をクリックします。 詳細パネルで、説明、提案、関連ベースラインなどのチェック項目に関する情報を表示します。 影響を受けるアセットのリストを表示することもできます。
ステップ5: ベースラインリスクの処理
[ベースラインチェック] ページで、提案に基づいてベースラインリスクを処理します。
ベースライン名で表示されるベースラインリスクの処理
[ベースラインチェックポリシー] タブのベースラインチェック結果のリストで、ベースラインの名前をクリックします。 表示されるパネルで、ベースラインリスクが検出されたサーバーを見つけ、[操作] 列の [表示] をクリックします。 [リスク項目] パネルで、ベースラインリスクを処理します。
チェック項目名で表示されるベースラインリスクの処理
[リスクの詳細] タブのベースラインチェック結果のリストで、検出されたベースラインリスクに基づくチェック項目を見つけ、[操作] 列の [詳細] をクリックします。 リスク項目の詳細パネルで、ベースラインリスクを処理します。
次のセクションでは、ベースライン名で表示されるベースラインリスクを処理する方法について説明します。
修正
Security Centerでは、一部のベースラインリスクのみを修正できます。 [リスク項目] パネルに移動して、リスク項目の [修正] ボタンが表示されるかどうかを確認できます。
[修正] ボタンが表示されない場合、Security Centerコンソールでベースラインリスクを修正できません。 サーバーの設定を変更するには、ベースラインリスクが検出されたサーバーにログインする必要があります。 設定を変更した後、ベースラインリスクが修正されているかどうかを確認できます。
[リスク項目] パネルで、管理するリスク項目を見つけて、[操作] 列の [詳細] をクリックします。 表示されるページで、リスク項目の説明、ヒントの確認、および提案を表示できます。
[修正] ボタンが表示された場合、Security Centerコンソールでベースラインリスクを修正できます。
[リスク項目] パネルで、ベースラインリスクが検出される基準となるチェック項目を見つけ、[操作] 列の [修正] をクリックします。
[資産のリスクの修正] ダイアログボックスで、パラメーターを設定します。
下表に、各パラメーターを説明します。
パラメーター
説明
固定方法
ベースラインリスクの修正に使用する方法。
説明この方法は、ベースラインリスクのタイプに基づいて変化する。 このパラメーターは、ビジネス要件に基づいて設定できます。
バッチハンドル
一度に複数のアセットに対して同じベースラインリスクを処理するかどうかを指定します。
システム保護
システムデータをバックアップするスナップショットを作成するかどうかを指定します。
警告セキュリティセンターは、ベースラインリスクの修正に失敗する可能性があります。 この問題が発生すると、ワークロードが影響を受ける可能性があります。 ベースラインリスクを修正する前に、システムのバックアップを作成することをお勧めします。 Security Centerがリスクの修正に失敗した場合、バックアップを使用してシステムをロールバックできます。 これにより、ワークロードが期待どおりに実行されます。
スナップショットの自動作成とリスクの修正: このオプションを選択した場合、[今すぐ修正] をクリックする前に、[スナップショット名] と [スナップショット保持期間] パラメーターを設定する必要があります。
説明作成されたスナップショットに対して課金されます。 [スナップショット課金] をクリックすると、スナップショットサービスの課金方法が表示されます。
スナップショットと修正をスキップ: ベースラインリスクを修正する前にスナップショットを作成しない場合は、このオプションを選択して [今すぐ修正] をクリックします。
[今すぐ修正] をクリックします。
ホワイトリストに追加
サーバーのステータスが合格していないチェックアイテムを信頼する場合、そのチェックアイテムをホワイトリストに追加できます。 その後、サーバー上のチェック項目に対して生成されたアラートは無視されます。
サーバーのチェック項目をホワイトリストに追加すると、サーバーで検出された対応するベースラインリスクは無視されます。
たとえば、root以外のアカウントを使用してインスタンスにログオンし、そのようなログオンが通常のワークロードに必要であることを確認した場合、ホワイトリストにリスク項目を追加できます。
特定のベースラインチェック項目を1つのサーバーのホワイトリストに追加する
管理するサーバーの [リスク項目] パネルで、ホワイトリストに追加するベースラインチェック項目を見つけ、[操作] 列の [ホワイトリストに追加] をクリックします。 表示されるダイアログボックスで、ベースラインチェック項目をホワイトリストに追加する理由を指定し、[OK] をクリックします。
一度に複数のベースラインチェック項目をホワイトリストに追加するには、[未合格] ステータスのベースラインチェック項目を選択し、左下隅の [ホワイトリストに追加] をクリックします。
新しく追加されたサーバーを含むすべてのサーバーのホワイトリストに特定のベースラインチェック項目を追加する
[リスクの詳細] タブで、ホワイトリストに追加するベースラインチェック項目を見つけ、[操作] 列の [ホワイトリストに追加] をクリックします。 複数のベースラインチェック項目をホワイトリストに追加するには、複数のベースラインチェック項目を選択し、チェック項目リストの左下隅にある [ホワイトリストに追加] をクリックします。
1つのベースラインチェック項目のホワイトリストに一部のサーバーを追加
[リスクの詳細] タブで、管理するベースラインチェック項目を見つけ、[操作] 列の [詳細] をクリックします。 チェック項目の詳細パネルで、ホワイトリストに追加するサーバーを選択し、サーバーリストの左下隅にある [ホワイトリストに追加] をクリックします。
検証
ベースラインリスクが固定されているかどうかを確認します。
[リスク項目] パネルで、管理するベースラインチェック項目を見つけ、[操作] 列の [検証] をクリックします。 次に、サーバーのベースラインリスクが修正されているかどうかを確認します。 検証が成功すると、ベースラインリスクは固定され、[リスク項目] 列の数値は減少し、リスク項目のステータスは合格に変わります。
手動検証を実行しない場合、Security Centerは、ベースラインチェックポリシーで指定された検出間隔に基づいて、ベースラインリスクが修正されているかどうかを自動的にチェックします。
ロールバック
ECSインスタンスのベースラインリスクを修正する前に、ECSインスタンスのスナップショットを作成することを推奨します。 これにより、ベースラインリスクの修正に失敗したためにサービスの中断エラーが発生した場合にインスタンスをロールバックできます。 ロールバックを実行するには、ベースライン詳細パネルでインスタンスを見つけ、[操作] 列の [ロールバック] をクリックします。 [ロールバック] ダイアログボックスで、修正を実行する前に作成したスナップショットを選択し、[OK] をクリックします。 インスタンスの設定は、スナップショットに基づいてロールバックされます。
ホワイトリストから削除
ホワイトリストのベースラインチェック項目でアラートをトリガーする場合は、ホワイトリストからベースラインチェック項目を削除するか、削除したサーバーをベースラインチェック項目が属するベースラインチェックポリシーの影響を受けるサーバーに追加できます。 ベースラインチェック項目をホワイトリストから削除するか、削除したサーバーをベースラインチェック項目が属するベースラインチェックポリシーの影響を受けるサーバーに追加すると、ベースラインチェック項目がアラートをトリガーします。
ホワイトリストからベースラインチェック項目を削除するには、[リスク項目] パネルでベースラインチェック項目を見つけ、[操作] 列の [ホワイトリストから削除] をクリックします。 [ホワイトリストから削除] ダイアログボックスで、[OK] をクリックします。 ホワイトリストから複数のベースラインチェック項目を削除するには、ベースラインチェック項目を選択し、左下隅の [ホワイトリストから削除] をクリックします。
ベースライン
ベースラインカテゴリ
ベースラインカテゴリ | チェック標準と説明 | 関与するオペレーティングシステムとサービス | 修正説明 |
弱いパスワード | ブルートフォースログオン以外の方法を使用して、アセットに弱いパスワードが設定されているかどうかを確認します。 このメソッドはアカウントをロックしないため、ワークロードの中断を防ぎます。 説明 セキュリティセンターは、システムによって読み取られたハッシュ値と、弱いパスワード辞書に基づいて計算されたハッシュ値を比較することによって、弱いパスワードを検出します。 システムがハッシュ値を読み取るようにしたくない場合は、ベースラインチェックポリシーから弱いパスワードを検出するベースラインを削除できます。 |
| できるだけ早い機会にベースラインリスクを修正する必要があります。 これにより、弱いパスワードがインターネットに公開されるのを防ぐことができます。 弱いパスワードがインターネット上で公開されていると、資産が攻撃され、データ侵害が発生する可能性があります。 |
不正アクセス | 不正アクセスが実装されているかどうかを確認します。 サービスに不正アクセスのリスクがあるかどうかを確認します。 これにより、侵入やデータ侵害を防ぎます。 | Memcached、Elasticsearch、Docker、CouchDB、ZooKeeper、Jenkins、Hadoop、Tomcat、Redis、JBoss、ActiveMQ、RabbitMQ、OpenLDAP、rsync、MongoDB、PostgreSQL | |
ベストセキュリティプラクティス | Alibaba Cloud標準。 Alibaba Cloudのベストセキュリティプラクティスの標準に基づいて、設定にリスクが存在するかどうかを確認します。 設定には、アカウントのアクセス許可、ID認証、パスワードポリシー、アクセス制御、セキュリティ監査、および侵入防止が含まれます。 |
| 検出されたリスクを修正することを推奨します。 Security Centerは、ベストセキュリティプラクティスの基準に基づいて、資産のセキュリティを強化できます。 これにより、アセットの構成に対する攻撃や悪意のある変更が防止されます。 |
コンテナセキュリティ | Alibaba Cloud標準。 コンテナセキュリティのベストプラクティスのAlibaba Cloud標準に基づいて、Kubernetesマスターノードとノードにリスクがあるかどうかを確認します。 |
| |
MLPSコンプライアンス | MLPSレベル2とMLPSレベル3の標準。 サーバーのMLPS準拠のベースラインに基づいて構成を確認します。 ベースラインチェックは、権威ある評価組織によって提案されたコンピューティング環境の標準と要件を満たしています。 |
| ビジネスのコンプライアンス要件に基づいて、検出されたリスクを修正することを推奨します。 |
セキュリティに関する国際的に合意されたベストプラクティス | オペレーティングシステムのセキュリティに関する国際的に合意されたベストプラクティスのベースラインに基づいて構成をチェックします。 |
| ビジネスのコンプライアンス要件に基づいて、検出されたリスクを修正することを推奨します。 |
カスタムベースライン | CentOS Linux 7のカスタムベースラインに基づいて構成をチェックします。 ビジネス要件に基づいて、カスタムベースラインチェックポリシーでカスタムベースラインを指定または編集できます。 | CentOS 7、CentOS 6、Windows Server 2022 R2、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、およびWindows Server 2008 R2 | 指定したカスタムベースラインに基づいて検出されたリスクを修正することを推奨します。 Security Centerは、ベストセキュリティプラクティスの基準に基づいて、資産のセキュリティを強化できます。 これにより、アセットの構成に対する攻撃や悪意のある変更が防止されます。 |
ベースラインチェック
次の表に、Security Centerが提供するデフォルトのベースラインチェックを示します。
Windowsベースライン
Linuxベースライン
よくある質問
ベースラインチェック機能を使用する場合、どのエディションのセキュリティセンターが必要ですか?
セキュリティセンターが固定ベースラインリスクの検証に失敗した場合はどうすればよいですか?
ベースラインと脆弱性の違いは何ですか?