サーバーがデータセンター、ハイブリッドクラウド、またはAlibaba Cloud仮想プライベートクラウド (VPC) にデプロイされている場合、サーバーはインターネット経由でアクセスできないため、保護のためにサーバーをAlibaba Cloud Security Centerに直接追加することはできません。 このシナリオでは、サーバーをSecurity Centerに追加するようにプロキシサーバーを構成できます。 サーバは、ホストおよびコンテナを含む。 このトピックでは、プロキシアクセス機能を使用してSecurity Centerにサーバーを追加する方法について説明します。
シナリオ
セキュリティセンターに直接追加できないVPC
VPCに複数のアクセス制限があり、VPC内のElastic Compute Service (ECS) インスタンスをSecurity Centerに直接追加できない場合、プロキシアクセス機能を使用してECSインスタンスをSecurity Centerに追加して保護することができます。
データセンター
ハイブリッドクラウド
制限事項
Linuxサーバーのみをプロキシサーバーとして構成できます。
プロキシアクセス機能を使用してSecurity Centerにサーバーを追加する場合、Security Centerが提供する機能のほとんどを使用できます。 ただし、次の表に示す機能は使用できません。 Security Centerでサポートされているすべての機能の詳細については、「機能と機能」をご参照ください。
準備
インターネットにアクセスできる1つ以上のサーバーをプロキシサーバーとして準備します。 プロキシサーバーが次の要件を満たしていることを確認します。
十分なネットワーク帯域幅が確保される。 プロキシサーバーは、Security Centerに追加するサーバーに接続するために、10 Kbit/sの帯域幅を予約する必要があります。 たとえば、50台のサーバーをプロキシサーバーに接続する場合、プロキシサーバーが500 Kbit/sの帯域幅を確保していることを確認します。
ポート80、ポート443、およびポート8080は、プロキシサーバーに接続するサーバーからのアクセスを許可するために、プロキシサーバーで有効になっています。
複数のプロキシサーバーを使用する場合は、接続にドメイン名を使用することを推奨します。 事前にプロキシサーバーのドメイン名を申請し、ドメイン名をプロキシサーバーのIPアドレス、負荷分散用のIPアドレス、または仮想IPアドレスに解決できるようにしてください。
重要単一の8コア、16 GBのプロキシサーバーは、最大6,000個のホストまたはコンテナーに接続できます。 ビジネス要件に基づいて、プロキシサーバーの仕様と数量を計画します。
接続にドメイン名を使用しない場合は、複数のプロキシサーバーを使用してプロキシクラスターを作成し、接続の安定性を確保することを推奨します。 たとえば、パブリックIPアドレスを使用してプロキシサーバーをSecurity Centerに接続する場合、複数のプロキシサーバーを使用してプロキシクラスターを作成できます。
ハイブリッドクラウドシナリオでは、サードパーティのクラウドサーバーをAlibaba cloud VPCに接続します。
手順1: プロキシクラスターの作成
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
タブで、クラスターの新規作成 をクリックします。
クラスターの新規作成 ダイアログボックスで、クラスター名、アドレス、および説明パラメーターを設定します。 次に、[OK] をクリックします。
連絡先アドレス: プロキシサーバーのIPアドレスまたはドメイン名を入力します。 プロキシクラスターの作成後、クラスター内のホストとコンテナーは、連絡先アドレスパラメーターに指定したアドレスを使用してプロキシサーバーに接続します。
重要連絡先アドレスパラメーターをIPアドレスに設定すると、プロキシサーバーを1つだけ設定できます。 5など、少数のホストまたはコンテナのみをSecurity Centerに追加する必要がある場合は、この方法を使用することを推奨します。
複数のプロキシサーバーを設定する場合は、連絡先アドレスパラメーターをドメイン名に設定することを推奨します。 ドメイン名がプロキシサーバーのIPアドレス、負荷分散用のIPアドレス、または仮想IPアドレスに解決できることを確認してください。
プロキシクラスターの作成後、クラスターの名前またはアドレスを変更することはできません。 有益なクラスター名と到達可能アドレスを入力することを推奨します。
手順2: プロキシサーバーのデプロイ
タブで、作成したクラスターを見つけ、プロキシのデプロイで、操作する列を作成します。
プロキシサーバーのデプロイ パネルで、展開モードを選択して設定を完了します。
Security Centerエージェントがプロキシサーバーにインストールされていて、エージェントがオンラインの場合は、[クイック展開] を選択します。 Security Centerエージェントがプロキシサーバーにインストールされていない場合は、[手動展開] を選択する必要があります。
クイックデプロイ
クイックデプロイ を選択した場合、[サーバーの選択] セクションからプロキシサーバーとして構成するLinuxサーバーを選択し、[OK] をクリックする必要があります。
手動デプロイ
手動のデプロイ を選択した場合、画面上の指示に基づいて手動展開コマンドをコピーする必要があります。 次に、管理者アカウントを使用してプロキシサーバーにログインし、コマンドラインインターフェイスで手動展開コマンドを実行します。
デプロイ後約5分で、
タブでプロキシサーバーのステータスを確認できます。
プロキシサーバーをデプロイすると、サーバーはプロキシ機能のみを提供できます。 Security Centerエージェントがプロキシサーバーにインストールされていない場合、Security Centerによって提供される保護機能はサポートされません。 保護機能には、脆弱性検出とベースラインチェックが含まれます。 Security Centerを使用してプロキシサーバーを保護する場合は、プロキシサーバーにSecurity Centerエージェントをインストールする必要があります。 詳細については、「Security Centerエージェントのインストール」をご参照ください。
ステップ3: サーバーをプロキシクラスターに接続する
プロキシクラスターを作成してプロキシサーバーをデプロイしたら、サーバーをクライアントとしてクラスターに接続できます。 これにより、サーバーはプロキシサーバーを介してセキュリティセンターに追加され、保護されます。
単一の8コア、16 GBのプロキシサーバーは、最大6,000個のホストまたはコンテナーに接続できます。
サーバーを直接選択するか、サーバーでインストールコマンドを実行してサーバーをプロキシクラスターに接続するかに関係なく、最大500個のホストを一括でプロキシクラスターに接続できます。 バッチ間の間隔は1分より大きくなければなりません。
On the タブで、作成したクラスターを見つけ、クライアントにアクセスするで、操作する列を作成します。
クライアントにアクセスする パネルで、アクセスモードを選択して設定を完了します。
プロキシクラスターに接続するサーバーにSecurity Centerエージェントがインストールされていて、そのエージェントがオンラインの場合は、直接サーバーを選択できます。 プロキシクラスターに接続するサーバーにSecurity Centerエージェントがインストールされていない場合は、サーバーでインストールコマンドを実行できます。
サーバーの選択
アセットリストで、プロキシクラスターに接続するサーバーを選択し、[OK] をクリックします。
インストールコマンドの実行
[インストールコマンドの生成] に移動する をクリックします。
タブで、[インストールコマンドの作成] をクリックします。
インストールコマンドの追加 ダイアログボックスでパラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
有効期限
インストールコマンドの有効期限。
サービスプロバイダー
サーバーのプロバイダー。
デフォルトグループ
サーバーを追加するグループ。 グループは、Security Centerコンソールの [ホスト] ページで表示できます。
OS
サーバーのオペレーティングシステム。
イメージシステムの作成
デフォルト値の いいえ を保持します。 サーバーのイメージを作成するかどうかを指定します。
プロキシの選択
自作のプロキシクラスター を選択し、サーバーに接続するプロキシクラスターを選択します。
インストールコマンドリストで、生成されたインストールコマンドを表示およびコピーします。
管理者アカウントを使用してサーバーにログインし、サーバーのオペレーティングシステムに基づいてインストールコマンドを実行します。
インストールコマンドの実行後、5分待ちます。 次に、接続済みのクライアント 列の番号をクリックして、プロキシクラスターに接続されているサーバーのリストを表示できます。
手順4: プロキシクラスタポリシーの設定 (オプション)
デフォルトでは、管理センターにデータを戻す送信モードが使用され、ネットワーク帯域幅と送信頻度は制限されません。 このモードでは、プロキシサーバーによって収集されたデータがSecurity Centerに送信されます。 送信モードを変更したり、ネットワーク帯域幅と送信頻度を制限したりするには、次の手順を実行します。
On the タブで、作成したクラスターを見つけ、プロキシ設定で、操作する列を作成します。
プロキシ設定 ダイアログボックスでパラメーターを設定し、[OK] をクリックします。
次の送信モードがサポートされています。管理センターへのバックフロー および バックフローせずに指定されたディレクトリにキャッシュする 。
送信モード
説明
管理センターへのバックフロー
データは、リスクと脅威の検出のためにセキュリティセンターに送信されます。
このモードを選択すると、プロキシサーバーとSecurity Center間の通信のネットワーク帯域幅と送信頻度を手動で設定できます。 有効な値:
無制限: ネットワーク帯域幅と送信周波数は制限されません。
カスタム: ビジネス要件に基づいて、ネットワーク帯域幅と送信周波数の上限を指定できます。
重要プロキシクラスターのネットワーク帯域幅または送信頻度の上限を設定する場合、必要な帯域幅が総帯域幅の60% を超えないようにし、通信プロセスに必要なリソースが総リソースの60% を超えないようにしてください。
バックフローせずに指定されたディレクトリにキャッシュする
データは、リスクと脅威の検出のためにデータセンターまたはVPCにキャッシュされます。 特定のデータ型のみがサポートされています。
このモードを選択すると、関連ログはデフォルトでプロキシサーバーの /usr/local/aegis/proxy/log/export.logファイルにキャッシュされます。 キャッシュディレクトリを変更できます。
説明キャッシュディレクトリには最大10 GBのデータを保存できます。 上限を超えると、システムは最も早いログを周期的に上書きします。
次のステップ
プロキシクラスターに関する情報の表示
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
タブで、次の操作を実行します。
プロキシクラスターに関する基本情報の表示
プロキシクラスターの名前、アドレス、接続されているサーバーの数、およびステータスを表示できます。 プロキシクラスターは、次のいずれかの状態になります。
オンライン: プロキシクラスター内の少なくとも1つのプロキシサーバーがオンラインです。
オフライン: プロキシクラスターにプロキシサーバーが存在しないか、プロキシクラスター内のすべてのプロキシサーバーがオフラインです。
プロキシサーバーのリストを表示する
プロキシクラスターを見つけて、サーバー基本情報 列のアイコンをクリックします。 表示されるパネルで、基本情報を表示するプロキシサーバーを見つけ、[資産情報] 列のサーバー上にポインターを移動します。 エージェントステータスは、Security Centerエージェントがオンラインかどうかを示します。
接続されているサーバーのリストを表示する
プロキシクラスターを見つけて、接続済みのクライアント 列の番号をクリックします。 接続されている各サーバーに関する次の情報を表示できます: 資産情報、グループ情報、オペレーティングシステムの種類、サービスプロバイダー、およびリージョン。 サーバーに追加されたタグや、サーバーにインストールされているSecurity Centerエージェントのステータスを表示することもできます。
プロキシクラスターの削除
プロキシアクセス機能を使用して追加されたサーバーを保護するためにSecurity Centerを使用する必要がなくなった場合は、次の操作を実行してプロキシクラスターを削除できます。
追加したサーバーをプロキシクラスターから切断します。
On the タブでプロキシクラスターを見つけ、クライアントにアクセスするで、操作する列を作成します。
クライアントにアクセスする パネルで、選択したすべてのサーバーをクリアし、[OK] をクリックします。
この操作により、追加されたすべてのサーバーがプロキシクラスターから切断されますが、サーバーからSecurity Centerエージェントはアンインストールされません。 サーバーでコマンドを実行して、Security Centerエージェントをアンインストールできます。 詳細については、「コマンドを実行してSecurity Centerエージェントをアンインストールする」をご参照ください。
プロキシサーバーを削除します。
プロキシサーバーがオフラインの場合にのみ削除できます。 aegisプロキシプロセスを停止して、プロキシサーバーをオフラインにすることができます。
管理者アカウントを使用してプロキシサーバーにログインします。 次に、次のコマンドを実行してaegisプロキシプロセスを停止します。
ps -ef | grep aegis kill PID # /usr/local/aegis/proxy/ID of the SasClientProxy process
説明プロセスを停止する権限がない場合は、クライアント保護機能を無効にします。 詳細については、「エージェント設定タブの機能の有効化」をご参照ください。
タブでプロキシクラスターを見つけ、サーバー基本情報 列のアイコンをクリックします。
サーバー基本情報 パネルで、各プロキシサーバーの [操作] 列の 削除 をクリックします。
プロキシクラスターからすべてのプロキシサーバーを削除した後、プロキシクラスターリストでプロキシクラスターを見つけ、操作する 列の 削除 をクリックします。
プロキシサーバーのバージョンをアップグレードする
接続パフォーマンスを向上させるために、Security Centerはプロキシサーバーの最新バージョンを継続的に検出して表示します。 ビジネス要件に基づいて、プロキシサーバーを最新バージョンにアップグレードするかどうかを決定できます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 .
タブでプロキシクラスターを見つけ、サーバー基本情報 列のアイコンをクリックします。
サーバー基本情報 パネルで、バージョンをアップグレードするプロキシサーバーを見つけ、操作する 列の アップグレード をクリックします。
アップグレード ボタンが暗く表示されている場合、プロキシサーバーが最新バージョンを実行しているか、Security Centerエージェントがオフラインになっています。 Security Centerエージェントがオフラインの場合、エージェントがオフラインの理由をトラブルシューティングする必要があります。 エージェントがオンラインになったら、バージョンを再度アップグレードします。 詳細については、「Security Centerエージェントがオフラインになっている理由のトラブルシューティング」をご参照ください。