設定エラーや誤操作によるクラウドサービスの攻撃を防ぐため、Security Centerは設定評価機能を提供しています。 この機能を使用して、クラウドサービスの構成にリスクとエラーが存在するかどうかを複数のディメンションから確認できます。 これにより、設定エラーによって引き起こされるリスクを軽減し、クラウドサービスのセキュリティを向上させることができます。 このトピックでは、構成評価機能の基本情報と課金について説明します。
機能の概要
クラウドサービスの設定の確認
Security Centerを使用すると、クラウドインフラストラクチャの資格管理 (CIEM) 、セキュリティリスク管理、コンプライアンスリスク管理から、クラウドサービスの構成にリスクとエラーが存在するかどうかを確認できます。 チェック結果は、クラウドサービスの設定リスクを理解するのに役立つように、リスクレベルごとに分類および表示されます。
寸法
次の表に、クラウドサービスの設定を確認できるディメンションを示します。
チェック寸法 | 説明 |
CIEM | CIEMは、クラウドセキュリティ評価と認証管理を統合して、クラウドプラットフォームを使用およびアクセスするための権限を管理するサービスです。 Security Centerは、CIEMに基づいてクラウドプラットフォームのIDと権限を管理します。過剰な権限やパスワードの有効期限などの問題が存在するかどうかを確認できます。 これにより、権限管理に関連する問題を早期に特定して解決し、クラウドプラットフォームのセキュリティと信頼性を向上させることができます。 |
セキュリティリスク管理 | 最良のセキュリティプラクティスは、データとビジネスのセキュリティを最大化するために、クラウドサービスプロバイダーによって長年にわたって蓄積されているセキュリティ対策とソリューションです。 Security Centerは、ビジネスシステムのセキュリティ構成、コードの脆弱性、およびログ設定をチェックし、さまざまなクラウドサービスプロバイダのベストセキュリティプラクティスに基づいて、クラウドプラットフォーム上の潜在的な構成エラーを特定します。 これにより、データとビジネスのセキュリティを最大化できます。 |
コンプライアンスリスク管理 | 国際的に合意されたセキュリティのベストプラクティスは、ITシステムとデータをサイバー攻撃から守るためのセキュリティ基準です。 Security Centerは、クラウドプラットフォームのコンプライアンスリスクを包括的にチェックおよび管理し、セキュリティ基準を満たしていない弱い構成を特定します。 これにより、弱い構成をできるだけ早く処理し、データとビジネスのセキュリティを最大化することができます。 |
サポートされているクラウドサービス
Security Centerを使用すると、Alibaba cloudと、Tencent CloudやAmazon Web services (AWS) などのサードパーティのクラウドサービスプロバイダーが提供するクラウドサービスを追加できます。 サポートされているクラウドサービスは、Security Centerコンソールで表示できます。 詳細については、「クラウドサービスの追加」をご参照ください。
クラウドサービスの設定リスクの修正
Security Centerは、クラウドリソースをより適切に管理し、ビジネスセキュリティを確保するために、リスク項目ごとに最適化の提案とソリューションを提供します。
セキュリティセンターは、50を超えるチェックアイテムのクイック修正機能を提供します。 Security Centerコンソールで、クラウドサービスインスタンスの設定リスクを直接修正できます。 インスタンスのリスクが修正されるたびに、設定評価の残りのクォータの1つを消費します。
課金
課金ルール
各クラウドサービスインスタンスで実行される各設定チェックのクォータに基づいて、設定評価機能に対して課金されます。 課金式: 構成評価料金=単価 × クォータ
単価: 単価は課金方法によって異なります。 詳細については、「課金方法」をご参照ください。
クォータ: 各クラウドサービスインスタンスで実行された各チェック項目のスキャン、検証、および修正の総数。
クォータ=スキャンカウント + 検証カウント + 成功した修正カウント。
クラウドサービスインスタンスとは、OSS (Object Storage service) バケットやECS (Elastic Compute Service) セキュリティグループなど、特定のアプリケーションまたはネットワークデバイスのインスタンスを指します。
Security Centerコンソールの左側のナビゲーションウィンドウで を選択し、Alibaba Cloudアカウント内のクラウドサービスインスタンスの数を表示できます。
構成評価機能を有効にすると、システムは構成チェックを実行するたびにスキャン回数を計算します。 式: コンフィギュレーションチェックのスキャン回数の合計=スキャンされたインスタンスの合計数 × 選択されたチェック項目の数。
たとえば、合計10のクラウドサービスを追加し、各クラウドサービスに15のインスタンスがあるとします。 合計5つのチェック項目が選択された構成チェックを実行します。 この例では、5つのチェック項目のそれぞれが各インスタンスをスキャンするために使用され、スキャン回数は750回である。 この値は、10 × 15 × 5 = 750の式を用いて計算される。
課金方法
構成評価機能は、サブスクリプションと従量課金の課金方法をサポートしています。 この機能の無料版も提供されています。 無料版は特定のチェック項目のみをサポートしていますが、有料版はすべてのチェック項目をサポートしています。
Alibaba Cloudアカウント内で、従量課金方法とサブスクリプション課金方法に基づく設定評価機能を同時に購入することはできません。
たとえば、サブスクリプションの課金方法に基づいて構成評価機能を購入する場合、従量課金方法に基づいて機能を購入するには、機能のサブスクリプションが終了するまで待つか、機能を無効にする必要があります。 詳細については、このトピックの「サブスクリプションから従量課金への切り替え」をご参照ください。
従量課金またはサブスクリプションの課金方法に基づいて構成評価機能を購入した後、無料および請求可能のチェック項目を含むすべてのチェック項目を使用できます。 この場合、構成チェックを実行するときに次の項目に注意してください。
購入した構成評価のクォータを消費しない、スキャンと検証のみを含む無料チェック項目に対しては課金されません。 あなたは、クォータを消費するリスクの正常な修正を伴う無料のチェック項目。
請求可能なチェックアイテムは、各チェックアイテムが各クラウドサービスインスタンスのスキャンに使用された回数に基づいて課金されます。
無料使用
特定のチェック項目を使用して、クラウドサービスインスタンスを無制限に無料でスキャンおよび検証できます。 リスクを修正する必要がある場合は、従量課金またはサブスクリプションの課金方法に基づいて設定評価機能を購入する必要があります。
Security Centerコンソールの左側のナビゲーションウィンドウで、 を選択すると、サポートされている無料チェック項目が表示されます。
従量課金またはサブスクリプションの課金方法に基づいて構成評価機能を購入しておらず、その機能のクォータを購入していない場合は、機能によって提供される70を超えるチェック項目を無料で使用できます。
无料で利用できるチェック项目の数は、Security Centerのエディションによって异なります。 2023年7月7日より前に構成評価機能を有効にした場合、Security Centerのサブスクリプションが期限切れになるまで、次の数のチェック項目を無料で使用できます。 Security Centerの有効期限が切れる前にサブスクリプションを更新した場合は、引き続きチェック項目を無料で使用できます。
基本とアンチウイルス: 70以上
高度: 90以上
エンタープライズと究極: 250以上
構成評価機能によって、より多くのチェック項目が提供されます。 より多くのチェックアイテムを使用する場合は、従量課金またはサブスクリプションの課金方法に基づいて構成評価機能を購入できます。 詳細については、このトピックの「承認と購入」セクションをご参照ください。 この機能を購入した後、すべてのチェックアイテムを使用できます。 履歴スキャンデータは保持されます。 すべてのチェック項目を表示し、設定チェックのチェック項目を選択できます。
サブスクリプション
式: 単価 × クラウドプラットフォーム設定チェックのスキャン回数 × サブスクリプション期間 (セキュリティセンターのサブスクリプション期間) 。
クラウドプラットフォーム設定チェックのスキャン回数
料金 (USD /時間)
0 ~ 100,000
0.0009
100,001 ~ 500,000
0.00069
500,000より大きい
0.000625
オフセットルール: 55,000単位で少なくとも15,000の構成評価のクォータを購入する必要があります。 構成チェックを実行するたびに、残りのクォータは、スキャン回数、検証回数、および修正回数に基づいて消費されます。
説明残りのクォータが構成チェックの料金を相殺するのに不十分な場合、クォータでカバーできないチェック項目は、構成チェックでインスタンスのスキャン、検証、および修正に使用されません。 スキャン結果を表示して、設定チェックの詳細を確認できます。
従量課金
数式: 単価 × 設定評価のクォータ (当日のスキャン、検証、および修正の合計数)
カレンダーの日付ごとに、段階的価格設定モードで消費された構成評価のクォータに基づいて課金されます。
設定評価の使用済みクォータ
料金 (USD /時間)
0 ~ 100,000
0.0009
100,001 ~ 500,000
0.0007
500,000より大きい
0.00045
構成評価機能の請求書を表示する方法の詳細については、 請求の詳細
承認と購入
構成評価機能を初めて使用する場合は、クラウドリソースへのアクセスをSecurity Centerに許可する必要があります。
セキュリティセンターにクラウドリソースへのアクセスを許可します。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
設定アセスメント ページで、今すぐ権限付与 をクリックします。 構成評価機能を初めて使用するときは、この操作を実行する必要があります。
承認が完了すると、AliyunServiceRoleForSasCspmという名前のサービスにリンクされたロールが作成され、現在のアカウント内のクラウドサービスのリソースにアクセスして変更できます。 次に、構成評価機能を使用して、クラウドサービスのID認証、ネットワークアクセス制御、データセキュリティ、ログ監査、および基本保護の構成を確認できます。 これにより、セキュリティ設定を強化し、クラウドサービスの設定エラーによって引き起こされるリスクを軽減できます。 AliyunServiceRoleForSasCspmサービスにリンクされたロールの詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。
機能を購入するための課金方法を選択します。
従量課金
サブスクリプション
機能を使用する
クラウドサービスの追加: サポートされているクラウドサービスを表示し、設定を確認するクラウドサービスをSecurity Centerに追加します。 Alibaba Cloudサービスとサードパーティのクラウドサービスがサポートされています。
設定評価機能の使用: チェックポリシーを設定し、チェック結果を表示し、検出されたリスク項目を処理します。