アセットのセキュリティを確保するために、アセットの脆弱性を定期的にスキャンすることを推奨します。 このトピックでは、Security Centerで検出および修正できる脆弱性の種類について説明します。 このトピックでは、サーバーで自動定期スキャンタスクを実行し、脆弱性スキャンを手動で実行する方法についても説明します。
検出および修正できる脆弱性
Web-CMSの脆弱性を検出
アプリケーションの脆弱性を検出
アプリケーションの脆弱性の検出
Security Centerがアプリケーションの脆弱性についてサーバーをスキャンすると、Security CenterエージェントのAliSecureCheckAdvancedプロセスは、コンピューターで概念実証 (POC) 検証を実行し、特定のPOCリクエストを送信してアプリケーションの脆弱性が存在するかどうかを確認します。 リクエストは、アプリケーションの脆弱性の存在と潜在的な影響をテストするためだけに送信されますが、攻撃は開始しません。
webスキャナーのサーバーIPアドレス
Security Centerを使用してサーバーのアプリケーションの脆弱性と緊急の脆弱性をスキャンする場合、Security Centerはインターネットから起動された攻撃をシミュレートしてサーバーをスキャンします。 Security Centerはリクエストパケットのみを送信しますが、malicouos操作は実行しません。 Web Application Firewall (WAF) やSecure Operations Center (SOC) などのセキュリティ保護または監視システムによってサーバーが保護されている場合は、webスキャナーのサーバーIPアドレスをセキュリティ保護または監視システムのホワイトリストに追加することを推奨します。 これにより、スキャンタスクが期待どおりに実行されます。 セキュリティ保護または監視システムのホワイトリストに次のIPアドレスを追加する必要があります。47.110.1847.47.0.60, 47.180.47.0.49 10.1810.110.147 10.110.180.35, 47.110.110.180.37, 47.110.110.11117.4180.43, 47.17.110.4140.4180.41, 410.17.1810.17.17.1180.410.410.17.11810.410.11817.17.4および47.110.180.63。
s0x.cnドメイン名は、セキュリティセンターがアプリケーションの脆弱性と緊急の脆弱性を検出するために使用する補助ドメイン名です。
手順
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
脆弱性管理ページで、脆弱性スキャンを手動で実行するか、サーバーで自動定期スキャンタスクを実行します。
脆弱性スキャンを手動で実行する: サーバーに脆弱性が存在するかどうかをすぐに確認する場合は、クイックスキャン機能を使用してサーバーの脆弱性をスキャンできます。
クイックスキャンを実行する前に、次の手順を実行して、必要なサーバーが追加されているかどうかを確認します。[脆弱性] ページの右上隅にある 脆弱性管理の設定 をクリックします。 脆弱性管理の設定 パネルで、脆弱性タイプの右側にある 管理 をクリックします。脆弱性管理
[脆弱性] ページで、ワンクリックスキャン をクリックします。
脆弱性スキャン ダイアログボックスで、スキャンする脆弱性のタイプを選択し、OK をクリックします。
スキャンタスクが作成されたら、スキャンタスクを停止する前に15分待ちます。
説明脆弱性スキャンタスクを実行するサーバーを指定しなかった場合、スキャンタスクはSecurity Centerによって保護されているすべてのアセットで実行され、30分以内に完了します。 ページを更新して、最新のスキャン結果を表示できます。
自動定期スキャンタスクを実行します。
自動定期スキャンタスクのスキャンサイクルを設定できます。 次に、Security Centerは自動定期スキャンタスクを実行して、サーバー上の脆弱性を定期的にスキャンします。
[脆弱性] ページの右上隅にある 脆弱性管理の設定 をクリックします。
脆弱性管理の設定パネルで、ビジネス要件に基づいてパラメーターを設定します。 下表に、各パラメーターを説明します。
パラメーター
説明
Linuxソフトウェアの脆弱性
スイッチをオンまたはオフにして、Linuxソフトウェアの脆弱性、Windowsシステムの脆弱性、Web-CMSの脆弱性、および緊急の脆弱性のスキャンを有効または無効にします。 スイッチをオンにすると、管理対応する脆弱性をスキャンするサーバーを追加または削除します。
Windowsシステムの脆弱性
Web-CMSの脆弱性
緊急の脆弱性
アプリケーションの脆弱性
スイッチをオンまたはオフにして、アプリケーションの脆弱性のスキャンを有効または無効にします。
YUM/APT ソースの設定
スイッチをオンまたはオフにして、脆弱性を修正するためにAlibaba CloudのYUMまたはAPTソースを優先的に使用するかどうかを指定します。
Linuxソフトウェアの脆弱性を修正する前に、有効なYUMまたはAPTソースを指定する必要があります。 無効なYUMまたはAPTソースを指定した場合、脆弱性は修正されない可能性があります。 スイッチをオンにすると、Security Centerは自動的にAlibaba CloudのYUMまたはAPTソースを選択します。 これにより、脆弱性修正の成功率が向上します。 YUM/APT ソースの設定をオンにすることを推奨します。
緊急脆弱性スキャンサイクル
緊急の脆弱性のスキャンサイクルを指定します。
説明Advanced、Enterprise、およびUltimateエディションのみがサポートされています。 デフォルトのスキャン期間は00:00:00〜07:00:00です。
サーバーがプライベートネットワークにデプロイされている場合、または緊急の脆弱性検出が不要な場合は、緊急脆弱性スキャンサイクルパラメーターをスキャンの停止に設定できます。
サーバーはさまざまな方法で攻撃される可能性があります。 Emergency vul(s) Scan CycleパラメーターをStop以外の値に設定することを推奨します。 このようにして、Security Centerはサーバー上の緊急の脆弱性をタイムリーに検出します。
アプリケーションの脆弱性スキャンサイクル
アプリケーションの脆弱性のスキャンサイクルを指定します。
説明EnterpriseおよびUltimateエディションのみがサポートされています。 デフォルトのスキャン期間は00:00:00〜07:00:00です。
無効な脆弱性の自動削除
検出された脆弱性が自動的に削除されるまでの日数を指定します。
検出された脆弱性を処理せず、その後の複数の検出操作で脆弱性が検出されなくなった場合、指定された日数が経過すると、脆弱性は [脆弱性] ページから自動的に削除されます。 同じタイプの脆弱性が後で検出された場合でも、セキュリティセンターはアラートを生成します。
脆弱性スキャンレベル
Security Centerで検出する脆弱性の優先順位を指定します。
セキュリティセンターは、指定した優先度を持つ脆弱性のみを検出して表示します。 たとえば、[高] および [中] を選択した場合、Security Centerは、[高] および [中] の優先順位で修正する脆弱性を検出します。
脆弱性ホワイトリストの設定
Security Centerで脆弱性を検出したくない場合は、ルールを新しく追加する をクリックして脆弱性ホワイトリストに脆弱性を追加します。
説明脆弱性ホワイトリストルールを作成した後、ホワイトリストルールのスコープを変更し、ホワイトリストルールを削除できます。
次のステップ
脆弱性スキャンの進行状況を表示する
設定が完了すると、Security Centerは設定に基づいてサーバーの脆弱性をスキャンします。 [脆弱性管理] ページの右上隅にある タスク管理 をクリックして、[タスク管理] ページに移動します。 次に、脆弱性スキャンの進行状況を表示できます。 脆弱性スキャンが完了したら、[脆弱性] ページのタブをクリックして、最新のスキャン結果を表示できます。
脆弱性の表示と処理
脆弱性スキャンが完了したら、[脆弱性管理] ページで検出された脆弱性を表示および処理できます。 詳細については、「脆弱性の表示と処理」をご参照ください。