Security Centerはどのようにアカウント全体の資産を保護しますか? - Security Center

マルチアカウント管理機能を使用すると、企業のリソースディレクトリ内の複数のメンバーを一元管理できます。メンバーの保護設定を構成し、メンバーのリソースで検出されたリスクをリアルタイムで表示できます。このトピックでは、マルチアカウント管理機能の使用方法について説明します。

背景情報

ビジネスをクラウドに移行する企業が増えています。企業が多数のクラウドリソースを購入すると、リソース、プロジェクト、人員、および権限の管理が複雑になる可能性があります。単一のアカウントを使用して要件を満たすことはできません。この場合、ビジネスをクラウドに移行するには、マルチアカウントシステムが必要です。エンタープライズユーザーには、複数のアカウントにまたがるクラウドリソースの集中管理が必要です。クラウドリソースには、セキュリティ、コンプライアンス監査、ネットワーク、およびO&M製品が含まれます。

Security Centerは、信頼できるサービスとしてResource ManagementのResource Directoryと統合できます。リソースディレクトリを使用して、複数のAlibaba Cloudアカウントを一元的かつ構造化された方法で管理できます。たとえば、各Alibaba Cloudアカウント内のリソースに対してデータ操作とモニタリングを実装し、アカウント全体のリソースに対して迅速な操作と管理を実行できます。

制限事項

Security Centerのすべてのエディションがこの機能をサポートしています。各エディションでサポートされている機能の詳細については、「機能と機能」をご参照ください。

前提条件

リソースディレクトリを有効にする必要があります。詳細については、「リソースディレクトリの有効化」をご参照ください。
リソースディレクトリに新しいメンバーを作成するか、既存のAlibaba Cloudアカウントを招待して参加する必要があります。詳細については、「メンバーの作成」および「Alibaba Cloudアカウントにリソースディレクトリへの参加を依頼する」をご参照ください。
Alibaba Cloudアカウントを脅威分析モニタリングスコープに含めるには、アカウントが脅威分析および対応機能のログデータを購入していることを確認します。詳細については、「概要」をご参照ください。

手順

手順1: 委任された管理者アカウントを追加する

リソースディレクトリの管理アカウントを使用すると、ディレクトリ内のメンバーを、信頼できるサービスの委任管理者アカウントとして指定できます。指定されると、このメンバーは、その構造とメンバーを含む、信頼されたサービスのリソースディレクトリに関する情報にアクセスできます。さらに、委任管理者は、リソースディレクトリ内のビジネス活動を管理できます。

説明

Security CenterとSecurity Center - Threat Analysisの両方に、最大10の委任管理者アカウントを追加できます。

リソースディレクトリの管理アカウントを使用して、リソース管理コンソールにログインします。
左側のナビゲーションウィンドウで、[リソースディレクトリ] > [信頼できるサービス] を選択します。
[信頼できるサービス] ページで、[セキュリティセンター] または [セキュリティセンター-脅威分析] を見つけ、[操作] 列の [管理] をクリックします。
表示されるページの [委任管理者アカウント] セクションで、[追加] をクリックします。
[委任管理者アカウントの追加] パネルで、メンバーをSecurity Centerの委任管理者アカウントとして指定し、[OK] をクリックします。
委任管理者アカウントを指定すると、委任管理者アカウントはリソースディレクトリのすべてのメンバーに対して管理操作を実行できます。

ステップ2: メンバーの追加

マルチアカウント管理機能を使用すると、セキュリティセンターで監視されているアカウントと脅威分析で監視されているアカウントの種類のメンバーを追加できます。

Security Centerによって監視されるアカウント: 複数のAlibaba Cloudアカウントにわたるアセットのセキュリティステータスを監視し、脅威分析以外の保護設定を構成するために、これらのアカウントをsecurity Centerによって監視されるアカウントのメンバーとして追加できます。これらの設定には、アラート、脆弱性検出、クラウドセキュリティ姿勢管理 (CSPM) が含まれます。
脅威分析によって監視されるアカウント: 異なるAlibaba cloudアカウントに属する複数のクラウドサービスのセキュリティ情報とイベントを管理する場合、脅威分析によって監視されるアカウントのメンバーとしてアカウントを追加できます。サービスには、Cloud FirewallとWeb Application Firewallが含まれます。

セキュリティセンターが監視するアカウントのメンバーを追加する

Security Centerコンソールで、既存のAlibaba Cloudアカウントをメンバーとしてリソースディレクトリに招待できます。このようにして、単一のアカウントを使用して一元的にアカウント内のアセットを管理できます。アセットのセキュリティステータスを監視し、アラート、脆弱性チェック、ベースラインチェック、構成評価など、メンバーの脅威分析以外の保護設定を構成できます。

Security Centerコンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国および全世界 (中国を除く)のリージョンがサポートされています。
左側のナビゲーションウィンドウで、システム設定 > マルチアカウントのセキュリティ管理.
マルチアカウント管理機能を初めて使用する場合は、Security Center 管理の有効化 をクリックします。
この機能を有効にすると、リソースディレクトリのメンバーに対してAliyunServiceRoleForSasRdサービスにリンクされたロールが自動的に作成されます。サービスにリンクされたロールの詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。
メンバーを追加します。
1. マルチアカウントのセキュリティ管理 ページに移動し、Configure > Account Monitored by Security Center を選択します。次に、[合計監視アカウント] セクションの [アカウント管理] をクリックします。
2. [マルチアカウント管理設定] > [リソースディレクトリノード] > [選択したノードのメンバー] リストで、管理するアカウントを選択します。選択したアカウントが [管理対象アカウント] エリアに表示されます。
  説明
  リソースディレクトリの管理アカウントを使用するか、委任された管理者アカウントを使用するかにかかわらず、ドロップダウンリストのメンバーは同じです。
  CTDR機能が有効になっている場合、Security Centerの管理アカウントからメンバーアカウントを削除すると、脅威分析からも削除されます。
3. 新しいアカウントの自動管理を有効にします。
  有効にした後、[ポリシーの設定] をクリックし、対象のリソースディレクトリノードを選択し、[OK] をクリックします。
  説明
  - 選択したノードに追加された新しいアカウントは自動的に管理されます。
  - CTDR機能が有効になっている場合、脅威分析によって監視される新しいアカウントはセキュリティセンターと同期されます。同様に、アカウントがセキュリティセンターから削除された場合、アカウントも両方のサービスの管理から削除されます。
4. [OK] をクリックします。
  追加されたメンバーは、マルチアカウントのセキュリティ管理 ページのメンバーリストに表示されます。
メンバーの保護設定を構成します。
1. Account Monitored by Security Center タブで、メンバーリストでメンバーを見つけ、Actions 列の設定をクリックします。
2. 設定パネルで、[クライアント管理] ステップでパラメーターを設定し、次へをクリックします。
  ホスト保護、コンテナ保護、エージェント設定などの設定を構成できます。詳細については、「機能設定」をご参照ください。
3. 脆弱性管理ステップでパラメーターを設定し、次へをクリックします。
  各タイプの脆弱性の自動スキャンを有効または無効にでき、特定のサーバーの脆弱性スキャンを有効にできます。スキャンサイクルとスキャン方法を設定し、検出された脆弱性が自動的に削除されるまでの日数を指定することもできます。詳細については、「脆弱性のスキャン」をご参照ください。
4. [ベースライン検査] ステップでパラメーターを設定します。
  ベースラインチェック機能を使用すると、メンバーのベースラインチェックポリシーを設定できます。ベースラインチェックポリシーを使用して、メンバーに属するアセットのベースライン構成にリスクが存在するかどうかを確認できます。詳細については、「ベースラインチェックポリシーの作成とポリシーに基づいたベースラインチェックの実行」をご参照ください。
設定が完了したら、[決定] をクリックします。
Security Centerはメンバーの機能を有効にし、構成に基づいてメンバーに属するアセットに対して脆弱性スキャンを実行します。

脅威分析によって監視されるアカウントのメンバーを追加する

[脅威分析によって監視されるアカウント] タブで、複数のアカウントの脅威分析機能を有効にできます。次に、異なるアカウントに属する複数のクラウドサービスのアラートを設定し、サービスに対して生成されたアラートイベントを処理できます。

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国および全世界 (中国を除く)のリージョンがサポートされています。
左側のナビゲーションウィンドウで、システム設定 > マルチアカウントのセキュリティ管理.
マルチアカウント管理機能を初めて使用する場合は、Enable Threat Analysis and Control をクリックします。
この機能を有効にすると、リソースディレクトリ内のメンバーアカウントに対して、サービスにリンクされたロールAliyunServiceRoleForSasRdとAliyunServiceRoleForSasCloudSiemが自動的に作成されます。サービスにリンクされたロールの詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。
メンバーを追加します。
1. マルチアカウントのセキュリティ管理 ページに移動し、Configure > 脅威分析と監視アカウント を選択します。次に、[合計監視アカウント] セクションの [アカウント管理] をクリックします。
2. [マルチアカウント管理設定] > [リソースディレクトリノード] > [選択したノードのメンバー] リストで、管理するアカウントを選択します。選択したアカウントが [管理対象アカウント] エリアに表示されます。
  説明
  リソースディレクトリの管理アカウントを使用するか、委任された管理者アカウントを使用するかにかかわらず、ドロップダウンリストのメンバーは同じです。
  Security Centerの管理アカウントからメンバーアカウントを削除すると、脅威analysiからメンバーアカウントも削除され、その逆も同様です。
3. 新しいアカウントの自動管理を有効にします。
  有効になったら、[ポリシーの設定] をクリックし、[新しいアカウントの自動管理ポリシーの設定] ダイアログボックスで、対象のリソースディレクトリノードを選択し、[OK] をクリックします。
  説明
  - 選択したノードに追加された新しいアカウントは自動的に管理されます。
  - CTDR機能が有効になっている場合、脅威分析によって監視される新しいアカウントはセキュリティセンターと同期されます。同様に、アカウントがセキュリティセンターから削除された場合、アカウントも両方のサービスの管理から削除されます。
[OK] をクリックします。

ステップ3: メンバーのリソースで検出されたリスクを表示する

リソースディレクトリの管理アカウントまたは委任された管理者アカウントを使用してSecurity Centerコンソールにログインし、メンバーのリソースで検出されたリスクを表示し、マルチアカウント制御ページの [概要] タブでメンバーを管理できます。

Security Center コンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国および全世界 (中国を除く)のリージョンがサポートされています。
左側のナビゲーションウィンドウで、システム設定 > マルチアカウントのセキュリティ管理.
マルチアカウントのセキュリティ管理 ページで、概要タブをクリックして、セキュリティスコア、リスクのある資産、アラート、脆弱性、ベースラインリスク、資産エクスポージャー統計など、各メンバーに関する情報を表示します。

ステップ4: メンバーアカウントの表示と管理

Security Centerコンソールで、Security Centerまたは脅威分析によって監視されているアカウントのメンバーを表示および管理できます。たとえば、メンバーを追加、削除、または削除できます。

セキュリティセンターが監視するアカウント

Security Centerコンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国および全世界 (中国を除く)のリージョンがサポートされています。
左側のナビゲーションウィンドウで、システム設定 > マルチアカウントのセキュリティ管理.
マルチアカウントのセキュリティ管理 ページで、Configure > Account Monitored by Security Center を選択します。次に、メンバーに関する情報を表示および管理します。
- メンバーに関するリスク情報の表示
  メンバーリストにメンバーに関するリスク情報を表示できます。リスク情報には、Security Score、セキュリティアラートの処理、脆弱性管理、ベースライン検査、設定アセスメント、Attacksが含まれます。
- メンバーのSecurity Centerコンソールに切り替える
  メンバーリストで、メンバーの名前をクリックして、メンバーのSecurity Centerコンソールに切り替えます。左側のナビゲーションウィンドウのドロップダウンリストからメンバーを選択して、メンバーのセキュリティセンターコンソールに切り替えるか、現在のログインアカウントのセキュリティセンターコンソールに戻すこともできます。
  メンバーのSecurity Centerコンソールに切り替えた後、メンバーのリソースで検出されたリスクを表示し、保護設定を構成できます。ただし、次の操作は実行できません。
  - 購入ページまたは別のクラウドサービスのコンソールに移動します。たとえば、概要ページで 今すぐ購入 をクリックしてエディションを選択すると、購入ページに移動できず、The feature is not supported when the multi-account switching feature is enabled. が表示されます。
  - ログ分析機能を使用します。メンバーのSecurity Centerコンソールに切り替えると、ログ分析機能へのエントリポイントはコンソールに表示されません。
  - マルチアカウント管理機能を使用します。メンバーのSecurity Centerコンソールに切り替えると、マルチアカウント管理機能へのエントリポイントはコンソールに表示されません。
- メンバーを次のようにマークする
  メンバーに優先順位を付けるには、アカウントリストからメンバーを選択し、Follow をクリックします。この操作により、左側のナビゲーションウィンドウのドロップダウンメニューの最前面にアカウントが配置されます。
- リソース管理コンソールにログインする
  管理アカウントを使用してリソース管理コンソールにログインします。 [リソースディレクトリ] ページでは、すべてのリソースディレクトリの詳細にアクセスしたり、新しいメンバーを追加したり、招待状を送信したり、リソースアカウントをクラウドアカウントにアップグレードしたりできます。
- メンバーの削除
  アカウントを削除するには、メンバーアカウントリストで [削除] をクリックします。

脅威分析によって監視されるアカウント

Security Centerコンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国および全世界 (中国を除く)のリージョンがサポートされています。
左側のナビゲーションウィンドウで、システム設定 > マルチアカウントのセキュリティ管理.
マルチアカウントのセキュリティ管理 ページに移動し、Configure > 脅威分析と監視アカウント タブを選択します。次に、[アカウント管理] をクリックし、[マルチアカウント管理の設定] パネルで、脅威分析の監視下にあるメンバーアカウントの詳細にアクセスして管理します。
- メンバー情報の表示
  [管理対象アカウント] では、脅威分析中のメンバーの詳細を確認できます。
- 脅威分析モニタリングから削除
  [脅威分析] ボックスをクリックして、ターゲットメンバーを削除します。対象アカウントに対応する 操作する 列から [削除] をクリックして、[管理対象アカウント] から削除することもできます。
- メンバーアカウントのSecurity Centerコンソールに切り替える
  脅威分析と監視アカウント ページで、[サブスクライブ] を選択してメンバーアカウントのリストをフィルタリングします。これにより、追加されたメンバーアカウントが表示されます。特定のアカウントの脅威分析と応答にアクセスするには、目的のアカウントのアクション列に移動し、[脅威分析と応答へのアクセス] をクリックします。