設定チェックを実行するクラウドサービスを追加する - Security Center

設定評価機能は、確認するクラウドサービスをSecurity Centerに追加した後にのみ使用できます。この機能は、Alibaba Cloudサービスとサードパーティのクラウドサービスをサポートしています。この機能は、クラウドサービスの構成におけるリスクと脆弱性を検出し、検出されたリスクと脆弱性を処理する方法に関する提案とガイドラインを提供します。この機能を使用して、クラウドサービスのセキュリティと信頼性を向上させることができます。

前提条件

構成評価機能を使用するために必要な権限が取得されます。この機能は、従量課金方法に基づいて購入されるか、または機能の十分なクォータが購入されます。詳細については、「購入と承認」をご参照ください。

サポートされているクラウドサービスの表示

設定評価機能は、Alibaba Cloudサービスとサードパーティのクラウドサービスをサポートします。サポートされているAlibaba Cloudサービス、サポートされているサードパーティのクラウドサービスプロバイダー、およびサポートされているサードパーティのクラウドサービスをSecurity Centerコンソールで表示できます。

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、リスクガバナンス > 設定アセスメント.
設定アセスメント ページで、[設定のチェック] タブをクリックします。
[設定チェック] タブで、フィルター条件ドロップダウンリストから [クラウドサービス] を選択し、[Alibaba Cloud] または [Tencent Cloud] や [AWS] などのサードパーティのクラウドサービスプロバイダーをクリックして、サポートされているクラウドサービスを表示します。

Alibaba Cloudサービスの追加

Security Centerは、Security Centerと同じAlibaba Cloudアカウントに属するAlibaba Cloudサービスを自動的に同期します。このシナリオでは手動操作は必要ありません。
異なるAlibaba Cloudアカウントに属するAlibaba Cloudサービスの設定を確認する場合は、マルチアカウント管理機能を使用して、アカウントをセキュリティセンターに追加する必要があります。詳細については、「マルチアカウント管理機能の使用」をご参照ください。

現在のAlibaba cloudアカウント、さまざまなAlibaba Cloudアカウント、およびSecurity Centerに追加されたサードパーティクラウドアカウントから、クラウドサービスを手動で同期できます。

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、アセットセンター > クラウドプロダクト.
最新のアセットの同期 をクリックします。

サードパーティのクラウドサービスの追加

構成評価機能は、Tencent cloud、Amazon Web services (AWS) 、およびMicrosoft Azureによって提供されるサードパーティのクラウドサービスのみをサポートします。サードパーティのクラウドサービスをSecurity Centerに追加し、設定評価機能を使用してサービスをスキャンできます。

手順1: サードパーティのクラウドアカウントの設定

サードパーティのクラウドサービスをSecurity Centerに追加する前に、サードパーティのクラウドサービスプロバイダーのプラットフォームにログインし、サブアカウントとアカウントのAccessKeyペアを作成してから、サブアカウントに構成評価機能に必要な権限を付与する必要があります。

Tencent Cloudでのサブアカウントの設定

サブアカウントとアカウントのAccessKeyペアの作成

サブアカウントの作成詳細については、次をご参照ください：サブユーザーの作成。

CloudResourceReadOnlyAccessおよびQcloudCamReadOnlyAccess権限をサブアカウントに付与します。詳細については、次をご参照ください：権限付与の管理

Tencent CloudアセットにSecurity Centerのきめ細かいアクセス制御を実装する場合は、カスタムポリシーを使用できます。

重要

Security Centerが構成評価機能に新しいチェック項目を導入する場合は、サブアカウントにアタッチされているカスタムポリシーを更新する必要があります。これにより、新しいチェック項目を使用して構成チェックを実行できます。カスタムポリシーを使用して、サブアカウントに必要な権限のみを付与することをお勧めします。

ポリシー構文に基づいてカスタムポリシーを作成します。次のポリシーコンテンツでは、actionの値は、呼び出すことができるAPI操作を指定します。詳細については、次をご参照ください：ポリシー構文によるカスタムポリシーの作成。

次のコードは、ポリシーの内容を示しています。詳細については、次をご参照ください：要素参照。

ポリシーの内容

{
	"version": "2.0",
	"statement": [{
			"effect": "allow",
			"action": [
				"cam:DescribeRoleList",
				"cam:DescribeSafeAuthFlagColl",
				"cam:GetPolicy",
				"cam:GetRole",
				"cam:GetRolePermissionBoundary",
				"cam:GetUser",
				"cam:GetUserPermissionBoundary",
				"cam:ListAccessKeys",
				"cam:ListAttachedRolePolicies",
				"cam:ListAttachedUserAllPolicies",
				"cam:ListCollaborators",
				"cam:ListUsers"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"cbs:DescribeDiskAssociatedAutoSnapshotPolicy",
				"cbs:DescribeDisks",
				"cdb:DescribeAccountPrivileges",
				"cdb:DescribeAccounts",
				"cdb:DescribeAuditConfig",
				"cdb:DescribeBackupConfig",
				"cdb:DescribeDBFeatures",
				"cdb:DescribeDBInstances",
				"cdb:DescribeDBSecurityGroups"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"clb:DescribeLoadBalancers",
				"clb:DescribeTargetHealth",
				"clb:DescribeTargets"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"cvm:DescribeInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"cwp:DescribeAssetMachineDetail"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"dcdb:DescribeDCDBInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"es:DescribeInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"mariadb:DescribeAccountPrivileges",
				"mariadb:DescribeAccounts",
				"mariadb:DescribeBackupTime",
				"mariadb:DescribeDBInstanceDetail",
				"mariadb:DescribeDBInstances",
				"mariadb:DescribeDBSecurityGroups"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"postgres:DescribeBackupPlans",
				"postgres:DescribeDBInstanceSecurityGroups",
				"postgres:DescribeDBInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"redis:DescribeAutoBackupConfig",
				"redis:DescribeDBSecurityGroups",
				"redis:DescribeInstanceMonitorTopNCmd",
				"redis:DescribeInstances"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"region:DescribeRegions"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"ssl:DescribeCertificate",
				"ssl:DescribeCertificates"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"tcr:DescribeInstances",
				"tcr:DescribeRepositories"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"vpc:DescribeNetworkAcls",
				"vpc:DescribeSecurityGroupPolicies",
				"vpc:DescribeSecurityGroups",
				"vpc:DescribeSubnets"
			],
			"resource": [
				"*"
			]
		},
		{
			"effect": "allow",
			"action": [
				"mysql:DescribeDBInstances"
			],
			"resource": [
				"*"
			]
		}
	]
}

作成したカスタムポリシーをサブアカウントにアタッチして、サブアカウント内のTencent CloudアセットにSecurity Centerがアクセスできるようにします。詳細については、次をご参照ください：権限付与の管理

サブアカウントのAccessKeyペアを作成します。詳細については、次をご参照ください：アクセスキー。

監査ログ設定の構成

サードパーティのクラウドサービスからのシステムアクティビティまたは操作のログをSecurity Centerに追加する場合は、サードパーティのクラウドサービスプロバイダーのプラットフォームでログサービスを設定し、Security Centerにログサービスの読み取り権限を付与します。

重要

監査ログ設定を構成する場合、指定したKafkaとログセットは、クラウドインフラストラクチャの資格管理 (CIEM) タイプのチェック項目に基づいて、クラウドサービスの構成チェックに使用されます。監査ログの設定を行わない場合、CIEMタイプのチェック項目を使用してクラウドサービスの構成を確認することはできません。

Tencent CloudのCloud Log Service (CLS) コンソールにログインし、ログトピックを作成します。詳細については、次をご参照ください：ログトピックの管理。
重要
追加するCLSとクラウドサービスに同じリージョンを選択することを推奨します。
Tencent CloudのCloudAuditコンソールにログインし、ログを配信するトラッキングセットを作成します。詳細については、次をご参照ください：トラッキングセット付き配送ログ
トラッキングセットを作成するには、次のパラメーターを設定します。
- イベントタイプの管理: [すべて] を選択します。
- リソースタイプ: すべてのリソースタイプを選択します。
- 配送先: [イベントをCLSに配送] を選択し、作成したログトピックを配信するログのトピックとして指定します。次に、[過去3か月 (90日間) の補完イベント] を選択します。
カスタムポリシーを作成し、Security Centerに追加するサブアカウントにポリシーをアタッチします。
次のコードを使用して、カスタムポリシーを作成します。
```
{
    "statement": [
        {
            "action": [
                "cls:OpenKafkaConsumer"
            ],
            "effect": "allow",
            "resource": [
                "qcs::cls:${Region ID of CLS}:uin/${Master Account ID}:topic/${CLS Topic ID}",
                "qcs::cls:${Region ID of CLS}:uin/${Master Account ID}:logset/${CLS Logset ID}"
            ]
        }
    ],
    "version": "2.0"
}
```
上記のコードの変数を、ログトピックに関する実際の情報に置き換える必要があります。情報を取得するには、ログトピックの基本情報ページに移動します。
- ${CLS Topic ID}: Log Topic IDパラメーターの値を入力します。
- ${CLS Logset ID}: Logset IDパラメーターの値を入力します。
- ${Region ID of CLS}: regionパラメーターの値に対応するリージョンIDを入力します。
- ${マスターアカウントID}: マスターアカウントのIDを入力します。右上隅のプロフィール写真をクリックしてIDを取得できます。
ログトピックのKafkaトピック名、Kafkaパブリックエンドポイント、およびログセットIDを取得します。これらの詳細は、サブアカウントをSecurity Centerに追加するときに必要です。
- ログトピックの基本情報ページに移動し、Logset IDパラメーターの値を取得します。
- Kafka消費ページに移動し、Kafkaトピック名とKafkaパブリックエンドポイントを取得します。詳細については、次をご参照ください：カフカの消費

AWSでサブアカウントを設定する

サブアカウントとアカウントのAccessKeyペアの作成

IAM Identity Centerコンソールにログインし、Identity and Access Management (IAM) ユーザーを作成します。詳細については、「ユーザーの追加」をご参照ください。
IAMユーザーにReadOnlyAccess権限を付与します。詳細については、「ユーザーへの権限の追加 (コンソール) 」をご参照ください。

監査ログ設定の構成

重要

監査ログ設定を構成する場合、指定したAmazon Simple Queue Service (SQS) キューは、CIEMタイプのチェック項目に基づくクラウドサービスの構成チェックで使用されます。監査ログの設定を行わない場合、CIEMタイプのチェック項目を使用してクラウドサービスの構成を確認することはできません。

Amazon SQSコンソールにログインし、SQSキューを作成します。詳細については、「Amazon SQS標準キューの作成とメッセージの送信」または「Amazon SQS FIFOキューの作成とメッセージの送信」をご参照ください。
Amazon Simple Storage Service (Amazon S3) コンソールにログインし、既存のS3バケットを選択するか、S3バケットを作成します。詳細については、「手順1: 最初のS3バケットの作成」をご参照ください。
重要
S3バケットとSQSキューが同じリージョンにあることを確認してください。
S3バケットおよび関連オブジェクトのCloudTrailイベントログを有効にします。詳細については、「S3バケットとオブジェクトのCloudTrailイベントログの有効化」をご参照ください。
重要
CloudTrailトレイルを作成するときは、[ログファイルSSE-KMS暗号化] パラメーターを [有効] に設定しないでください。
Amazon S3コンソールにログインし、S3バケットのイベント通知を有効にします。詳細については、「Amazon S3コンソールを使用したイベント通知の有効化と設定」をご参照ください。
- イベントタイプ: [送信] を選択します。
- 宛先: SQSキューを選択し、SQSキューのAmazonリソース名 (ARN) を入力します。

S3バケットの読み取りおよび書き込み権限をSQSキューに付与するカスタムポリシーを作成します。詳細については、「IAMポリシーの作成」をご参照ください。

次のコードを使用して、カスタムポリシーを作成します。

{
  "Version": "2012-10-17",
  "Id": "__default_policy_ID",
  "Statement": [
    {
      "Sid": "__owner_statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::${Account ID}:root"
      },
      "Action": "SQS:*",
      "Resource": "${System-provided SQS Queue ARN}"
    },
    {
            "Sid": "example-statement-ID",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SQS:SendMessage"
            ],
            "Resource": "${System-provided SQS Queue ARN}",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:*:*:${S3 Bucket Name}"
                }
            }
        }
  ]
}

SQSキューのデフォルトポリシーで、サブアカウントのIDとSQSキューのARNを取得できます。上記のコードの ${Account ID} と ${System-provided SQS ARN} を取得した情報に置き換えます。
バケットの詳細ページでS3バケットの名前を取得できます。上記のコードの ${S3バケット名} を取得した情報に置き換えます。

IAMユーザーにカスタムポリシーをアタッチします。詳細については、「ユーザーへの権限の追加 (コンソール) 」をご参照ください。
SQSキューの詳細ページに移動し、SQSキューの名前とリージョンIDを取得します。これらの詳細は、IAMユーザーをSecurity Centerに追加するときに必要です。

Azureでのサブアカウントの構成

オペレーティングシステムにAzure CLIをインストールします。詳細については、「Azure CLIのインストール方法」をご参照ください。
オペレーティングシステムがLinux Ubuntuの場合、次のコードを実行してリポジトリ情報を更新し、azure-cliパッケージをインストールします。
```
sudo apt-get update
sudo apt-get install azure-cli
```
Azure CLIを使用してAzureにログインします。次のコマンドを実行し、必要なAzureアカウントのログオン情報を入力します。
- 21Vianetが运営するMicrosoft Azureのユーザー
  次のコマンドを実行してAzureのcloudをAzureChinaCloudに設定し、現在のAzure環境をChinaに切り替えます。
```
az cloud set -n AzureChinaCloud
az login
```
- Microsoft Azureのユーザーは21Vianetによって操作されません
```
az login
```
次のコマンドを実行して、AccessKeyペア情報を照会します。
[your-account-ID] を、AccessKeyペアを作成するカスタムユーザー名に置き換えます。 、、およびを、Security Centerに追加するAzureサブスクリプションのIDに置き換えます。
```
az ad sp create-for-rbac \
-- name [your-account-ID] \
-- role Reader \
-- scope /subscriptions/[ID1, ID2, ID3] 
```
次の図は、AccessKeyペアの情報を示しています。

手順2: サードパーティのクラウドアカウントのAccessKeyペアをSecurity Centerに追加する

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、システム設定 > 機能の設定.
マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックします。次に、ドロップダウンリストからTencent Cloud、AWS、またはAzureを選択します。
マルチクラウド設定の編集 パネルで、手動設定プラン を選択します。次に、権限について の下の クラウドプラットフォーム設定のチェック を選択し、次へをクリックします。セキュリティセンターには、サードパーティのクラウドアカウント内のすべてのクラウドサービスに対する読み取り権限が付与されます。
AK の送信 ステップで、サードパーティのクラウドアカウントのAccessKeyペアを入力し、アカウントのリージョンを選択して、次へをクリックします。
Tencent CloudまたはAWSを選択した場合、監査ログを追加できます。
監査ログを追加する場合は、監査ログの設定 ステップで監査ログの設定を行い、次へをクリックします。監査ログを追加しない場合は、スキップ をクリックします。
- Tencent Cloudのサブアカウントを追加するときに、取得したKafkaトピック名、Kafkaパブリックエンドポイント、およびログトピックのログセットIDを順番に入力します。
- AWSのサブアカウントを追加するときに、取得したリージョンIDとSQSキューの名前を順番に入力します。

[ポリシー設定] ステップで、サードパーティアセットがデプロイされるリージョンとデータ同期頻度を設定し、OK をクリックします。

パラメーター	説明
リージョン	Security Centerに追加するアセットのリージョン。
リージョン管理	このオプションを選択すると、その後サポートされるリージョンのアセットが自動的にSecurity Centerに追加されます。
クラウドプロダクトの同期頻度	Security Centerがサードパーティのクラウドサービスのデータを自動的に同期する間隔。 [無効化] を選択した場合、データは同期されません。
AK サービスのステータスチェック	Security CenterがサードパーティのクラウドアカウントのAccessKeyペアの有効性を自動的にチェックする間隔。 [無効化] を選択した場合、Security CenterはAccessKeyペアの有効性をチェックしません。

[アセットの同期] をクリックして、サードパーティのクラウドアカウント内のアセットをSecurity Centerに同期します。

参考情報

構成評価機能の詳細と課金方法の詳細については、「構成評価の概要」をご参照ください。
構成チェックの実行方法と検出されたリスク項目の処理方法の詳細については、「構成評価機能の使用」をご参照ください。
API操作を呼び出して構成チェックを実行する方法の詳細については、「SubmitCheck」をご参照ください。