セキュリティセンターは、サーバーレスアセット保護機能を提供します。 この機能を使用して、container Service for Kubernetes (ACK) サーバーレスクラスターを使用して作成されたElastic Container Instance (ECI) やServerless App Engine (SAE) インスタンスなど、Alibaba Cloudサーバーレスアセットにデプロイされたワークロードを保護できます。 この機能は、一般的な脅威と脆弱性を検出し、アラートを生成し、ベースラインをチェックできます。 このトピックでは、サーバーレスアセットを追加し、サーバーレスアセット保護機能を使用する方法について説明します。
課金ルール
サーバーレスアセット保護機能のパブリックプレビューは、2024年7月31日 (UTC + 8) に終了します。 パブリックプレビューが終了すると、この機能の無料トライアルは利用できなくなります。 この機能を使用する場合は、Security Centerコンソールで [従量課金] を使用して機能を購入する必要があります。 詳細については、このトピックの「手順1: サーバーレスアセット保護機能の購入と承認の完了」をご参照ください。
課金の開始
サーバーレスアセット保護機能を購入し、必要な権限付与を完了したら、その機能を使用できます。 この機能に追加され、Security Centerエージェントがオンラインであるアセットに対しては、従量課金に基づいて課金されます。 料金は USD 0.000003 /コア秒 システムは、追加された資産のコア数を毎日計算し、翌日に請求書を生成します。 詳細については、「課金の概要」をご参照ください。
課金の停止
次のシナリオでは、システムはサーバーレスアセット保護機能に追加されたサーバーレスアセットのチェックを停止し、課金を停止します。
すべてのサーバーレスアセットの課金が停止されました
Security Centerコンソールの [概要] ページで、[従量課金機能] セクションの [サーバーレスアセット保護] のスイッチをオフにします。
Security Centerコンソールの
ページで、[一時停止] をクリックします。現在のAlibaba Cloudアカウントに料金滞納があります.
特定のサーバーレスアセットの課金が停止されました
Security Centerコンソールの
ページで、サーバーレスアセット保護機能から特定のアセットを削除します。 詳細については、このトピックの「手順3: アセットの追加または削除」をご参照ください。
サーバーレスアセットの追加の概要
サポートされるサーバーレスアセット
Security Centerは、ACKマネージドクラスター、ACK専用クラスター、ACKサーバーレスクラスター、またはPlatform for AIを使用して作成された柔軟なコンテナインスタンスとSAEインスタンスをサポートしています。
サーバーレスアセットの追加方法
サーバーレスアセット保護機能を有効にすると、Alibaba Cloudアカウント内で実行中の状態にあるelastic containerインスタンスとSAEインスタンスを含むサーバーレスアセットが自動的にSecurity Centerに同期され、サーバーレスアセットリストにアセットが表示されます。 機能にアセットを追加した後、サーバーレスアセット保護機能を使用できます。
サーバーレスアセット保護機能が有効になる前に作成されたインスタンスの場合、アクティベーション後にインスタンスを再起動する必要があります。 Security Centerエージェントが再起動され、正常に実行された後、サーバーレスアセットのセキュリティスキャン機能を使用できます。
Security Centerがサーバーレスアセットを追加する方法
Security Centerコンソールで従量課金方式を使用して機能を初めて購入し、サーバーレスアセット保護機能を購入するときに、保護するサーバーレスアセットを指定できます。 サーバーレスアセットを指定しない場合、アカウント内のすべてのサーバーレスアセットが機能に追加され、新しいサーバーレスアセットが機能に自動的に追加されます。 詳細については、このトピックの「手順1: サーバーレスアセット保護機能の購入と承認の完了」の「無料版のSecurity Centerでサーバーレスアセット保護機能を購入する」を参照してください。
セキュリティセンターの有料版を使用する場合は、次の項目に注意してください。
サーバーレスアセット保護機能を少なくとも1回購入しなかった場合、購入後にアカウント内のすべてのサーバーレスアセットが機能に追加され、新しいアセットが自動的に追加されます。
サーバーレスアセット保護機能を少なくとも1回購入した場合、以前に機能に追加されたサーバーレスアセットは、新規購入後に自動的に再追加されます。 elasticコンテナインスタンスとSAEインスタンスがこの機能に追加されていない場合、アカウント内のすべてのサーバーレスアセットは新規購入後に追加され、新しいアセットが自動的に追加されます。
詳細については、このトピックの「手順1: サーバーレスアセット保護機能を購入して承認を完了する」の「有料版のSecurity Centerでサーバーレスアセット保護機能を購入する」を参照してください。
Alibaba Cloudアカウントに料金滞納があり、サーバーレスアセット保護機能を購入した場合、以前に機能に追加されたサーバーレスアセットは、料金滞納の決済後も変更されません。
エラスティックコンテナインスタンスへのSecurity Centerエージェントのインストールと起動
ACK管理クラスター、ACK専用クラスター、またはACKサーバーレスクラスターを使用して作成されたエラスティックコンテナインスタンスを使用する場合、インスタンスにSecurity Centerエージェントをインストールし、インスタンスの作成時にエージェントを起動する必要があります。 これにより、サーバーレスアセット保護機能のセキュリティ機能を使用できます。 エラスティックコンテナインスタンスにSecurity Centerエージェントをインストールして起動するには、次の方法を使用します。
ACKサーバーレスクラスターで実行されるエラスティックコンテナインスタンスベースのポッドにSecurity Centerエージェントをインストールして起動する
ACKコンソールにログインし、クラスターの詳細ページに移動します。 左側のナビゲーションウィンドウで、 を選択します。 [ポッド] ページで、[YAMLから作成] をクリックします。 YAMLテンプレートで、spec > template > metadata
を選択し、annotations
パラメーターを追加し、パラメーターをk8s.aliyun.com/eci-aliyundun-enabled: "true"
に設定します。 詳細については、「エラスティックコンテナインスタンスの概要」をご参照ください。
YAMLテンプレートの例:
apiVersion: apps/v1 # for versions before 1.8.0 use apps/v1beta1
kind: Deployment
metadata:
name: nginx-deployment-basic
labels:
app: nginx
spec:
replicas: 2
selector:
matchLabels:
app: nginx
template:
metadata:
annotations:
k8s.aliyun.com/eci-aliyundun-enabled: 'true'
labels:
app: nginx
spec:
# nodeSelector:
# env: test-team
containers:
- name: nginx
image: nginx:1.7.9 # replace it with your exactly <image_name:tags>
ports:
- containerPort: 80
resources:
limits:
cpu: "500m"
イメージを使用してリソースを作成する場合は、[詳細設定] ステップでAnnotationsパラメーターのk8s.aliyun.com/eci-aliyundun-enabled
キーを追加し、値をtrueに設定します。 詳細については、「イメージからステートレスアプリケーションを作成する」をご参照ください。
ACKマネージドクラスターまたはACK専用クラスターで実行されるエラスティックコンテナインスタンスベースのポッドにSecurity Centerエージェントをインストールして起動する
ACKマネージドクラスターまたはACK専用クラスターで実行されるエラスティックコンテナインスタンスベースのポッドにSecurity Centerエージェントをインストールして起動する
ACKコンソールにログインし、クラスターの詳細ページに移動して、ack-virtual-nodeコンポーネントをデプロイし、エラスティックコンテナインスタンスにポッドをスケジュールします。 詳細については、「仮想ノードとしてデプロイされているエラスティックコンテナインスタンスへのポッドのスケジュール」をご参照ください。
クラスターの詳細ページの左側のナビゲーションウィンドウで、
を選択します。 [ポッド] ページで、[YAMLから作成] をクリックします。 YAMLテンプレートで、metadata
を選択し、annotations
パラメーターを追加し、パラメーターをk8s.aliyun.com/eci-aliyundun-enabled: "true"
に設定します。spec > containers
を選択し、env
環境変数を設定します。nameフィールドをECI_CONTAINER_TYPEに設定し、valueフィールドをsidecarに設定します
。YAMLテンプレートの例:
apiVersion: v1 kind: Pod metadata: name: test-aegis-alinux2-lifsea-x86 labels: eci: "true" annotations: k8s.aliyun.com/eci-aliyundun-enabled: "true" spec: containers: - name: sidecar image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7 command: - /bin/sh - -c args: - sleep inf env: - name: ECI_CONTAINER_TYPE value: sidecar - name: nginx image: registry-vpc.cn-shanghai.aliyuncs.com/eci_open/centos:7 command: - /bin/sh - -c args: - sleep inf
セキュリティ機能
サーバーレスアセット保護機能は、次のセキュリティ機能を提供します。
アラート検出: この機能では、Webshell、Unusual Network Connection、Suspicious Processなど、サーバーレスアセットで生成される一般的な種類のアラートを検出して処理できます。 詳細については、「コンテナーのアラート」をご参照ください。
脆弱性の検出:
ページで、すでにサポートされている脆弱性 の下の数字をクリックすると、検出可能な脆弱性のリスト パネルでサポートされている脆弱性を表示できます。この機能はアプリケーションの脆弱性のみを検出できますが、脆弱性の修正はサポートしていません。 アプリケーションの脆弱性は、サーバー上のソフトウェアでスキャンされるリスクです。 セキュリティの脅威を排除するには、ソフトウェアを手動でアップグレードするか、脆弱性の詳細に記載されている修正の提案に基づいて構成を変更する必要があります。
ベースラインチェック: この機能を使用すると、チェック項目を使用して検出されたサーバーレスアセットのベースラインリスクを特定して処理できます。 たとえば、Kubernetes(ECI) Pod Internationally Agreed Best Practices For Securityのベースラインには、[ルートコンテナーのアクセス許可を最小化] と [機能が割り当てられたコンテナーのアクセス許可を最小化] チェック項目が含まれています。 検出できるアイテムの詳細については、「ベースラインチェック」をご参照ください。
Security Centerは、追加されたサーバーレスアセットを、コンテナランタイムのステータスに基づいて異なるインスタンスタイプに分類します。 次の表に、各インスタンスタイプでサポートされるセキュリティ機能を示します。
インスタンスタイプ | サポートされるセキュリティ機能 |
Elasticコンテナーインスタンス |
|
RunDコンテナインスタンス | アラート検出 |
手順1: サーバーレスアセット保護機能の購入と完全な承認
無料版のSecurity Centerでサーバーレスアセット保護機能を購入
Security CenterのBasicエディションまたは無料トライアルを使用する場合は、サーバーレスアセット保護機能を別途購入できます。
[セキュリティセンターの購入] ページに移動し、Alibaba Cloudアカウントでログインします。
購入ページで、[課金方法] パラメーターを [従量課金] に設定し、[サーバーレス資産保護] パラメーターを [はい] に設定します。
[カスタムクォータバインド] をクリックします。 [クォータ管理] ダイアログボックスで、[すべてのサーバー] または [特定のサーバー] を選択して、すべてのアセットまたは特定のアセットを保護します。
ダイアログボックスでオプションを選択しないと、アカウント内のすべてのサーバーレスアセットがサーバーレスアセット保護機能に自動的に追加され、新しいサーバーレスアセットも保護のために自動的に追加されます。 機能を購入した後、手動で機能にサーバーレスアセットを追加したり、機能からサーバーレスアセットを削除したりすることもできます。 詳細については、「手順3: アセットの追加または削除」をご参照ください。
読み、[セキュリティセンターの利用規約] を選択し、[今すぐ注文] をクリックします。
Security Centerは、アカウント内のすべてのサーバーレスアセットをサーバーレスアセットページに自動的に同期し、保護クォータパラメーターの設定に基づいてサーバーレスアセットを機能に追加します。
有料版のSecurity Centerでサーバーレスアセット保護機能を購入する
セキュリティセンターの次の有料版のいずれかを使用している場合、サーバーレスアセット保護機能を購入することもできます: アンチウイルス、アドバンスト、エンタープライズ、アルティメット。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
[サーバーレスアセット] ページで、[今すぐ有効化] をクリックします。
または、[概要] ページの [従量課金機能] セクションで [サーバーレスアセット保護] のスイッチをオンにします。
表示されるダイアログボックスで、[セキュリティセンター (従量課金) の利用規約を読んで同意する] を選択し、[今すぐ有効化] をクリックします。
サーバーレスアセット保護機能を購入した後、次の情報に基づいてサーバーレスアセットを機能に追加します。
この機能を少なくとも1回購入しなかった場合、Security Centerは自動的に同期し、アカウント内の既存および新規のすべてのサーバーレスアセットをSecurity Centerと機能に追加します。
機能を少なくとも1回購入した場合、以前に機能に追加されたエラスティックコンテナインスタンスは自動的に再追加されます。 elasticコンテナインスタンスとSAEインスタンスがこの機能に追加されていない場合、アカウント内のすべてのサーバーレスアセットは新規購入後に追加され、新しいアセットが自動的に追加されます。
ステップ2: 最新のアセットに関する情報の同期
最近作成したサーバーレスアセットの場合は、最新のアセットの同期 をクリックして、最新のサーバーレスアセットに関する情報をSecurity Centerに同期できます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
[サーバーレスアセット] ページで、[アセットの同期] をクリックします。
Security Centerは、最新のサーバーレスアセットに関する情報を取得し、アセットリストを更新します。
説明システムは情報を更新するのに1分かかる。 情報が更新されるまで待ちます。
ステップ3: アセットの追加または削除
サーバーレスアセット保護機能のセキュリティおよびリスクスキャン機能は、アセットが機能に追加された後にのみサーバーレスアセットに提供できます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
[サーバーレスアセット] ページで、管理するサーバーレスアセットを見つけ、[エージェント] 列のアイコンの色を表示します。
緑は、Security Centerエージェントがアセットで期待どおりに実行されることを示します。 アセットをフィーチャーに追加またはフィーチャーから削除できます。
灰色は、Security Centerエージェントが理由によりオフラインであることを示します。 たとえば、エージェントがインストールされていないか、ネットワーク接続が不安定です。 この場合、アセットをフィーチャーに追加したり、フィーチャーからアセットを削除したりできます。 ただし、機能に追加されたアセットは機能によって保護されず、料金は発生しません。 必要なアセットにSecurity Centerエージェントをインストールして起動できます。 詳細については、このトピックの「サーバーレスアセットの追加の概要」をご参照ください。
サーバーレスアセットは、機能に追加され、Security Centerエージェントがアセットで期待どおりに実行された後にのみ保護できます。 この場合、この機能の料金は従量課金に基づいて生成されます。
アセットリストの上部で、クォータを使用しないインスタンスの下にあるクォータ管理をクリックします。
[クォータ管理] ダイアログボックスで、操作タイプの [追加] または [削除] を選択し、サーバーレスアセットを選択して、[OK] をクリックします。
新しいサーバーレスアセットを機能に自動的に追加する場合は、[新しいアセットを自動的に追加] を選択します。
ステップ4: セキュリティリスクの表示と処理
サーバーレスアセットがSecurity Centerに追加され、サーバーレスアセット保護機能によって保護されると、Security Centerはアセットで生成されたアラートをリアルタイムで検出し、指定されたサイクルに基づいて脆弱性検出とベースラインチェックを実行します。 脆弱性管理 または ベースライン検査 ページで、最新の検出またはチェック時間を表示できます。
サーバーレスアセットのセキュリティリスクを処理するには、次の操作を実行します。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
[サーバーレスアセット] ページで、必要なアセットを見つけ、リスクステータス 列でセキュリティステータスを確認します。 この列に リスクあり が表示されている場合、アセットでアラート、脆弱性、またはベースラインリスクが検出されます。
アセット名または [操作] 列の 表示 をクリックして、アセットのセキュリティリスクに関する情報を表示します。
表示されるページで、セキュリティアラート数 、脆弱性リスクの数 、および ベースラインリスク数 をクリックして、各タイプのセキュリティリスクを表示します。
アラートを処理します。
処理するアラートを検索し、[操作] 列の 詳細 をクリックして、アラートに関する情報を表示します。 アラートが実際のリスクに対応しているかどうかを確認できます。
次に、[操作] 列の 処理 をクリックしてアラートを処理できます。 アラートが実際のリスクに対応する場合は、[処理方法] を選択します。 アラートを処理する必要がない場合、またはアラートを無視する場合は、[処理方法] で [ホワイトリストに追加] 、[無視] 、または [手動で処理] を選択します。
脆弱性を処理します。
脆弱性リスクの数 をクリックして、アセットで検出された脆弱性を表示します。
脆弱性は攻撃者によって悪用される可能性があります。 検出された脆弱性をできるだけ早く処理することを推奨します。 サーバーレスアセット保護機能は、アプリケーションの脆弱性の迅速な修正をサポートしていません。 提供された情報に基づいて、アプリケーションの脆弱性を修正することを推奨します。 詳細については、「脆弱性修正機能の購入」をご参照ください。
ベースラインリスクを処理します。
ベースラインリスク数 をクリックして、アセットで検出されたベースラインリスクを表示します。 処理するベースラインリスクを見つけ、[操作] 列の 詳細 をクリックして、リスクの詳細とセキュリティ強化の提案を表示します。 ベースラインリスクを処理するか、ホワイトリストにベースラインリスクを追加するかを決定できます。
Security Centerコンソールでは、特定のベースラインリスクのみを修正できます。 ベースラインリスクの詳細ページのリスクリストに [修正] ボタンが表示されている場合、Security Centerコンソールでベースラインリスクを直接修正できます。