設定エラーやクラウドサービスの不適切な操作は、攻撃につながる可能性があります。 security Centerが提供するクラウドセキュリティ体制管理 (CSPM) 機能は、複数の次元にわたる構成の問題とセキュリティリスクを検出し、構成エラーに関連するリスクを軽減し、クラウドサービスのセキュリティを強化するのに役立ちます。 このトピックでは、CSPM機能とその課金方法について説明します。
機能の概要
クラウドサービスの設定を確認する
Security Centerを使用すると、クラウドインフラストラクチャの資格管理 (CIEM) 、セキュリティリスク管理、コンプライアンスリスク管理から、クラウドサービスの構成にリスクとエラーが存在するかどうかを確認できます。 チェック結果は、クラウドサービスの設定リスクを理解するのに役立つように、リスクレベルごとに分類および表示されます。
寸法をチェック
次の表に、クラウドサービスの設定を確認できるディメンションを示します。
特定のチェック項目については、Security Centerコンソールの
ページを参照してください。寸法 | チェックアイテム | 説明 |
CIEM | AWS Identity and Access Management: IAM ID認証とIAM権限管理。 |
|
Tencent Cloud IDおよびアクセス管理: CAM ID認証、およびCAM権限管理。 | ||
Alibaba Cloud Identity and Access Management: RAM ID認証、IDaaS、およびRAM権限管理。 | ||
セキュリティリスク管理 | Alibaba Cloudセキュリティのベストプラクティス: セキュリティ、NoSQLデータベース、ストレージ、エラスティックコンピューティング、リレーショナルデータベース、データウェアハウス、コンテナとミドルウェア、ネットワーク、ビッグデータ、DevOpsと管理、データベース管理ツール。 |
|
AWSセキュリティのベストプラクティス: コンピューティング、データベース、分析、ストレージ、ネットワーキングとコンテンツの配信、コンテナ。 | ||
Azureセキュリティのベストプラクティス: ネットワーク、コンピューティング、コンテナー、ストレージ、データベース、セキュリティ、モニター。 | ||
Tencent Cloudセキュリティのベストプラクティス: ネットワーク、リレーショナルデータベース、NoSQLデータベース、ストレージ、コンテナとミドルウェア、ビッグデータ、セキュリティ、コンピューティング。 | ||
コンプライアンスリスク管理 | 国際的に合意されたセキュリティのベストプラクティス: Alibaba Cloudプラットフォームのベースライン、およびAWSプラットフォームのベースライン。 |
|
PCIデータセキュリティ標準: Alibaba Cloud PCI DSS。 |
| |
MLPS 2.0標準: Alibaba Cloud MLPSレベル3。 |
| |
ISO国際標準: Alibaba Cloud ISO 27001 |
|
サポートされているクラウドサービス
Security Centerを使用すると、Alibaba cloudが提供するクラウドサービスと、Tencent Cloud、Azure、Amazon Web services (AWS) などのサードパーティのクラウドサービスプロバイダーを追加できます。 サポートされているクラウドサービスは、Security Centerコンソールで表示できます。 詳細については、「クラウドサービスの追加」をご参照ください。
リスクレベルの評価
CSPM機能は、主にリスクの重大度と適用シナリオに基づいてリスクを分類します。
リスクレベル | 説明 | 修正提案 |
ハイリスク | リスクの高い項目には、侵入やデータの公開のリスクを大幅に高める問題が含まれます。 これらには、公開された管理ポートと重要なサービス、オリジンサーバーバイパス、資格情報の漏洩、不正アクセス、認証バイパス、および無効にされていない特権アカウントが含まれる場合があります。 | 即時の修復が推奨されます。 |
中リスク | これらのアイテムは、高リスクとして分類されませんが、悪用される可能性のある潜在的な構成の弱点に対処するため、データセキュリティを向上させるために重要です。 | タイムリーな修復が推奨されるか、特定の条件に応じて処理します。 |
低リスク | ログ監査やセキュリティガバナンスのリマインダーなど、中リスクまたは高リスクに分類されていない項目を確認します。 | これらは通常無視できますが、コンプライアンスなどの理由で必要な場合は修正を実装する必要があります。 |
クラウドサービスの設定リスクを修正
Security Centerは、クラウドリソースをより適切に管理し、運用セキュリティを確保するために、リスク項目ごとに最適化の提案とソリューションを提供します。
手動修正: 修正を実行する前に、チェック結果から脅威の影響とソリューションを確認して、クラウドサービスへのリスクの影響を確認します。
ワンクリック修正: Security Centerは、100を超えるチェック項目のワンクリック修正を可能にする機能を提供します。 これにより、Security Centerコンソールから関連するクラウドサービスインスタンスの構成を簡単に修正できます。
Security Centerコンソールでは、Security Centerコンソールですばやく修正できるチェック項目を表示できます。 詳細については、「手順3: チェック結果の表示」をご参照ください。
インスタンスのリスクが修正されるたびに、CSPMの残りのクォータの1つを消費します。
課金
課金ルール
各クラウドサービスインスタンスで実行される各チェック項目のクォータに基づいて、CSPM機能に対して課金されます。 課金式は、CSPM料金=単価 × クォータです。
単価: 単価は課金方法によって異なります。 詳細については、「課金方法」をご参照ください。
クォータ: 各クラウドサービスインスタンスで実行された各チェック項目のスキャン、検証、および修正の総数。
クォータ=スキャンカウント + 検証カウント + 成功修正カウント。
クラウドサービスインスタンスとは、OSS (Object Storage service) バケットやECS (Elastic Compute Service) セキュリティグループなど、特定のアプリケーションまたはネットワークデバイスのインスタンスを指します。
CSPMを有効にすると、システムは構成チェックを実行するたびにスキャン回数を計算します。
各スキャンタスクの総スキャン数=スキャンされたインスタンスの総数 × 選択されたチェック項目の数
たとえば、合計10のクラウドサービスがあり、各サービスに15のインスタンスがあり、スキャンタスクで5つのチェック項目を選択した場合 (各インスタンスが5つのチェック項目に対してスキャンされます) 、スキャンタスクの合計スキャン数は次のように計算されます。
10 (クラウドサービス) × 15 (サービスあたりのインスタンス) × 5 (インスタンスあたりのチェック項目)=合計750スキャン。
課金方法
CSPM機能は、サブスクリプションと従量課金の課金方法をサポートします。 この機能の無料版も提供されています。 無料版は特定のチェック項目のみをサポートしていますが、有料版はすべてのチェック項目をサポートしています。
Alibaba Cloudアカウントは、一度に1つの課金方法しか選択できません。
たとえば、CSPM機能のサブスクリプションを有効にした場合、従量課金モードに切り替える前に、サービスの有効期限が切れるまで待つか、機能をダウングレードして無効にする必要があります。 詳細については、このトピックの「サブスクリプションから従量課金への切り替え」をご参照ください。
サブスクリプションと従量課金の両方の課金方法で、課金ロジックはAntivirus、Advanced、Enterprise、およびUltimateエディションで一貫しています。
従量課金またはサブスクリプションの課金方法に基づいてCSPM機能を購入した後、無料および請求可能のチェックアイテムを含むすべてのチェックアイテムを使用できます。 この場合、CSPMチェックを実行するときに次の項目に注意してください。
購入したCSPMのクォータを消費しない、スキャンと検証のみを含む無料チェック項目に対しては課金されません。 あなたは、クォータを消費するリスクの正常な修正を伴う無料のチェック項目。
請求可能なチェックアイテムは、各チェックアイテムが各クラウドサービスインスタンスのスキャンに使用された回数に基づいて課金されます。
無料使用
特定のチェック項目を使用して、クラウドサービスインスタンスを無制限に無料でスキャンおよび検証できます。 リスクを修正する必要がある場合は、従量課金またはサブスクリプションの課金方法に基づいてCSPM機能を購入する必要があります。
Security Centerコンソールの左側のナビゲーションペインで
を選択すると、サポートされている無料チェック項目が表示されます。従量課金またはサブスクリプションの課金方法に基づいてCSPM機能を購入しておらず、その機能のクォータを購入していない場合は、この機能によって提供される70を超えるチェックアイテムを無料で使用できます。
无料で利用できるチェック项目の数は、Security Centerのエディションによって异なります。 2023年7月7日より前にCSPM機能を有効にした場合、Security Centerのサブスクリプションが期限切れになるまで、次の数のチェック項目を無料で使用できます。 Security Centerの有効期限が切れる前にサブスクリプションを更新した場合は、引き続きチェック項目を無料で使用できます。
基本とアンチウイルス: 70以上
高度: 90以上
エンタープライズと究極: 250以上
より多くのチェック項目がCSPM機能によって提供されます。 より多くのチェックアイテムを使用する場合は、従量課金またはサブスクリプションの課金方法に基づいてCSPM機能を購入できます。 詳細については、このトピックの「承認と購入」セクションをご参照ください。 この機能を購入した後、すべてのチェックアイテムを使用できます。 履歴スキャンデータは保持されます。 すべてのチェック項目を表示し、設定チェックのチェック項目を選択できます。
サブスクリプション
式: 単価 × クラウドプラットフォーム設定チェックのスキャン回数 × サブスクリプション期間 (セキュリティセンターのサブスクリプション期間) 。
クラウドプラットフォーム設定チェックのスキャン回数
料金 (
USD /時間)0 ~ 100,000
0.0009 100,001 ~ 500,000
0.00069 500,000 超
0.000625 オフセットルール: 55,000単位で少なくとも15,000のCSPMのクォータを購入する必要があります。 構成チェックを実行するたびに、残りのクォータは、スキャン回数、検証回数、および修正回数に基づいて消費されます。
説明残りのクォータが構成チェックの料金を相殺するのに不十分な場合、クォータでカバーできないチェック項目は、構成チェックでインスタンスのスキャン、検証、および修正に使用されません。 スキャン結果を表示して、設定チェックの詳細を確認できます。
従量課金
式: 単価 × CSPMのクォータ (当日のスキャン、検証、および修正の合計数) 。
カレンダーの日付ごとに、段階的価格設定モードで消費されたCSPMのクォータに基づいて課金されます。
CSPMの消費クォータ
料金 (
USD /時間)0 ~ 100,000
0.0009 100,001 ~ 500,000
0.0007 500,000 超
0.00045 CSPM機能の請求書を表示する方法の詳細については、
請求の詳細
承認と購入
CSPM機能を初めて使用する場合は、クラウドリソースへのアクセスをSecurity Centerに許可する必要があります。
セキュリティセンターにクラウドリソースへのアクセスを許可します。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
設定アセスメントページで、今すぐ権限付与 をクリックします。 CSPM機能を初めて使用するときは、この操作を実行する必要があります。
承認が完了すると、AliyunServiceRoleForSasCspmという名前のサービスにリンクされたロールが作成され、現在のアカウント内のクラウドサービスのリソースにアクセスして変更できます。 次に、CSPM機能を使用して、クラウドサービスのID認証、ネットワークアクセス制御、データセキュリティ、ログ監査、および基本保護の設定を確認できます。 これにより、セキュリティ設定を強化し、クラウドサービスの設定エラーによって引き起こされるリスクを軽減できます。 AliyunServiceRoleForSasCspmサービスにリンクされたロールの詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。
機能を購入するための課金方法を選択します。
従量課金
サブスクリプション
機能を使用する
クラウドサービスの追加: サポートされているクラウドサービスを表示し、設定を確認するクラウドサービスをSecurity Centerに追加します。 Alibaba Cloudサービスとサードパーティのクラウドサービスがサポートされています
CSPM機能の使用: チェックポリシーを設定し、チェック結果を表示し、検出されたリスク項目を処理します。
攻撃パス分析機能の使用: Alibaba Cloudサービス間のアクセスパスを徹底的にスキャンして分析し、相互接続と潜在的なリスク領域を把握します。 このプロセスは、冗長な直接アクセス許可を検出し、潜在的な脆弱性を明らかにするのに役立ちます。