すべてのプロダクト
Search
ドキュメントセンター

Security Center:プロキシアクセス機能を使用してセキュリティセンターにサーバーを追加する

最終更新日:Dec 17, 2024

サーバーがデータセンター、ハイブリッドクラウド、またはAlibaba Cloud仮想プライベートクラウド (VPC) にデプロイされている場合、サーバーはインターネット経由でアクセスできないため、保護のためにサーバーをAlibaba Cloud Security Centerに直接追加することはできません。 このシナリオでは、サーバーをSecurity Centerに追加するようにプロキシサーバーを構成できます。 サーバは、ホストおよびコンテナを含む。 このトピックでは、プロキシアクセス機能を使用してSecurity Centerにサーバーを追加する方法について説明します。

シナリオ

セキュリティセンターに直接追加できないVPC

VPCに複数のアクセス制限があり、VPC内のElastic Compute Service (ECS) インスタンスをSecurity Centerに直接追加できない場合、プロキシアクセス機能を使用してECSインスタンスをSecurity Centerに追加して保護することができます。

image

データセンター

image

ハイブリッドクラウド

image

制限事項

準備

  • インターネットにアクセスできる1つ以上のサーバーをプロキシサーバーとして準備します。 プロキシサーバーが次の要件を満たしていることを確認します。

    • 十分なネットワーク帯域幅が確保される。 プロキシサーバーは、Security Centerに追加するサーバーに接続するために、10 Kbit/sの帯域幅を予約する必要があります。 たとえば、50台のサーバーをプロキシサーバーに接続する場合、プロキシサーバーが500 Kbit/sの帯域幅を確保していることを確認します。

    • ポート80、ポート443、およびポート8080は、プロキシサーバーに接続するサーバーからのアクセスを許可するために、プロキシサーバーで有効になっています。

    • 複数のプロキシサーバーを使用する場合は、接続にドメイン名を使用することを推奨します。 事前にプロキシサーバーのドメイン名を申請し、ドメイン名をプロキシサーバーのIPアドレス、負荷分散用のIPアドレス、または仮想IPアドレスに解決できるようにしてください。

    重要
    • 単一の8コア、16 GBのプロキシサーバーは、最大6,000個のホストまたはコンテナーに接続できます。 ビジネス要件に基づいて、プロキシサーバーの仕様と数量を計画します。

    • 接続にドメイン名を使用しない場合は、複数のプロキシサーバーを使用してプロキシクラスターを作成し、接続の安定性を確保することを推奨します。 たとえば、パブリックIPアドレスを使用してプロキシサーバーをSecurity Centerに接続する場合、複数のプロキシサーバーを使用してプロキシクラスターを作成できます。

  • ハイブリッドクラウドシナリオでは、サードパーティのクラウドサーバーをAlibaba cloud VPCに接続します。

手順1: プロキシクラスターの作成

  1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

  2. 左側のナビゲーションウィンドウで、システム設定 > 機能の設定を選択します。

  3. クライアント > プロキシのアクセス タブで、クラスターの新規作成 をクリックします。

  4. クラスターの新規作成 ダイアログボックスで、クラスター名、アドレス、および説明パラメーターを設定します。 次に、[OK] をクリックします。

    連絡先アドレス: プロキシサーバーのIPアドレスまたはドメイン名を入力します。 プロキシクラスターの作成後、クラスター内のホストとコンテナーは、連絡先アドレスパラメーターに指定したアドレスを使用してプロキシサーバーに接続します。

    重要
    • 連絡先アドレスパラメーターをIPアドレスに設定すると、プロキシサーバーを1つだけ設定できます。 5など、少数のホストまたはコンテナのみをSecurity Centerに追加する必要がある場合は、この方法を使用することを推奨します。

    • 複数のプロキシサーバーを設定する場合は、連絡先アドレスパラメーターをドメイン名に設定することを推奨します。 ドメイン名がプロキシサーバーのIPアドレス、負荷分散用のIPアドレス、または仮想IPアドレスに解決できることを確認してください。

    • プロキシクラスターの作成後、クラスターの名前またはアドレスを変更することはできません。 有益なクラスター名と到達可能アドレスを入力することを推奨します。

手順2: プロキシサーバーのデプロイ

  1. クライアント > プロキシのアクセスタブで、作成したクラスターを見つけ、プロキシのデプロイで、操作する列を作成します。

  2. プロキシサーバーのデプロイ パネルで、展開モードを選択して設定を完了します。

    Security Centerエージェントがプロキシサーバーにインストールされていて、エージェントがオンラインの場合は、[クイック展開] を選択します。 Security Centerエージェントがプロキシサーバーにインストールされていない場合は、[手動展開] を選択する必要があります。

    • クイックデプロイ

      クイックデプロイ を選択した場合、[サーバーの選択] セクションからプロキシサーバーとして構成するLinuxサーバーを選択し、[OK] をクリックする必要があります。

    • 手動デプロイ

      手動のデプロイ を選択した場合、画面上の指示に基づいて手動展開コマンドをコピーする必要があります。 次に、管理者アカウントを使用してプロキシサーバーにログインし、コマンドラインインターフェイスで手動展開コマンドを実行します。

    デプロイ後約5分で、クライアント > プロキシのアクセス タブでプロキシサーバーのステータスを確認できます。

    image.png

説明

プロキシサーバーをデプロイすると、サーバーはプロキシ機能のみを提供できます。 Security Centerエージェントがプロキシサーバーにインストールされていない場合、Security Centerによって提供される保護機能はサポートされません。 保護機能には、脆弱性検出とベースラインチェックが含まれます。 Security Centerを使用してプロキシサーバーを保護する場合は、プロキシサーバーにSecurity Centerエージェントをインストールする必要があります。 詳細については、「Security Centerエージェントのインストール」をご参照ください。

ステップ3: サーバーをプロキシクラスターに接続する

プロキシクラスターを作成してプロキシサーバーをデプロイしたら、サーバーをクライアントとしてクラスターに接続できます。 これにより、サーバーはプロキシサーバーを介してセキュリティセンターに追加され、保護されます。

重要
  • 単一の8コア、16 GBのプロキシサーバーは、最大6,000個のホストまたはコンテナーに接続できます

  • サーバーを直接選択するか、サーバーでインストールコマンドを実行してサーバーをプロキシクラスターに接続するかに関係なく、最大500個のホストを一括でプロキシクラスターに接続できます。 バッチ間の間隔は1分より大きくなければなりません。

  1. On theクライアント > プロキシのアクセスタブで、作成したクラスターを見つけ、クライアントにアクセスするで、操作する列を作成します。

  2. クライアントにアクセスする パネルで、アクセスモードを選択して設定を完了します。

    プロキシクラスターに接続するサーバーにSecurity Centerエージェントがインストールされていて、そのエージェントがオンラインの場合は、直接サーバーを選択できます。 プロキシクラスターに接続するサーバーにSecurity Centerエージェントがインストールされていない場合は、サーバーでインストールコマンドを実行できます。

    • サーバーの選択

      アセットリストで、プロキシクラスターに接続するサーバーを選択し、[OK] をクリックします。

    • インストールコマンドの実行

      1. [インストールコマンドの生成] に移動する をクリックします。

      2. クライアント > インストールコマンド タブで、[インストールコマンドの作成] をクリックします。

      3. インストールコマンドの追加 ダイアログボックスでパラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。

        パラメーター

        説明

        有効期限

        インストールコマンドの有効期限。

        サービスプロバイダー

        サーバーのプロバイダー。

        デフォルトグループ

        サーバーを追加するグループ。 グループは、Security Centerコンソールの [ホスト] ページで表示できます。

        OS

        サーバーのオペレーティングシステム。

        イメージシステムの作成

        デフォルト値の いいえ を保持します。 サーバーのイメージを作成するかどうかを指定します。

        プロキシの選択

        自作のプロキシクラスター を選択し、サーバーに接続するプロキシクラスターを選択します。

      4. インストールコマンドリストで、生成されたインストールコマンドを表示およびコピーします。 代理接入命令

      5. 管理者アカウントを使用してサーバーにログインし、サーバーのオペレーティングシステムに基づいてインストールコマンドを実行します。

        インストールコマンドの実行後、5分待ちます。 次に、接続済みのクライアント 列の番号をクリックして、プロキシクラスターに接続されているサーバーのリストを表示できます。

手順4: プロキシクラスタポリシーの設定 (オプション)

デフォルトでは、管理センターにデータを戻す送信モードが使用され、ネットワーク帯域幅と送信頻度は制限されません。 このモードでは、プロキシサーバーによって収集されたデータがSecurity Centerに送信されます。 送信モードを変更したり、ネットワーク帯域幅と送信頻度を制限したりするには、次の手順を実行します。

  1. On theクライアント > プロキシのアクセスタブで、作成したクラスターを見つけ、プロキシ設定で、操作する列を作成します。

  2. プロキシ設定 ダイアログボックスでパラメーターを設定し、[OK] をクリックします。

    次の送信モードがサポートされています。管理センターへのバックフロー および バックフローせずに指定されたディレクトリにキャッシュする

    送信モード

    説明

    管理センターへのバックフロー

    データは、リスクと脅威の検出のためにセキュリティセンターに送信されます。

    このモードを選択すると、プロキシサーバーとSecurity Center間の通信のネットワーク帯域幅と送信頻度を手動で設定できます。 有効な値:

    • 無制限: ネットワーク帯域幅と送信周波数は制限されません。

    • カスタム: ビジネス要件に基づいて、ネットワーク帯域幅と送信周波数の上限を指定できます。

    重要

    プロキシクラスターのネットワーク帯域幅または送信頻度の上限を設定する場合、必要な帯域幅が総帯域幅の60% を超えないようにし、通信プロセスに必要なリソースが総リソースの60% を超えないようにしてください。

    バックフローせずに指定されたディレクトリにキャッシュする

    データは、リスクと脅威の検出のためにデータセンターまたはVPCにキャッシュされます。 特定のデータ型のみがサポートされています。

    このモードを選択すると、関連ログはデフォルトでプロキシサーバーの /usr/local/aegis/proxy/log/export.logファイルにキャッシュされます。 キャッシュディレクトリを変更できます。

    説明

    キャッシュディレクトリには最大10 GBのデータを保存できます。 上限を超えると、システムは最も早いログを周期的に上書きします。

次のステップ

プロキシクラスターに関する情報の表示

  1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

  2. 左側のナビゲーションウィンドウで、システム設定 > 機能の設定を選択します。

  3. クライアント > プロキシのアクセス タブで、次の操作を実行します。

    • プロキシクラスターに関する基本情報の表示

      プロキシクラスターの名前、アドレス、接続されているサーバーの数、およびステータスを表示できます。 プロキシクラスターは、次のいずれかの状態になります。

      • オンライン: プロキシクラスター内の少なくとも1つのプロキシサーバーがオンラインです。

      • オフライン: プロキシクラスターにプロキシサーバーが存在しないか、プロキシクラスター内のすべてのプロキシサーバーがオフラインです。

    • プロキシサーバーのリストを表示する

      プロキシクラスターを見つけて、サーバー基本情報 列の服务器图标アイコンをクリックします。 表示されるパネルで、基本情報を表示するプロキシサーバーを見つけ、[資産情報] 列のサーバー上にポインターを移動します。 エージェントステータスは、Security Centerエージェントがオンラインかどうかを示します。 代理服务器列表

    • 接続されているサーバーのリストを表示する

      プロキシクラスターを見つけて、接続済みのクライアント 列の番号をクリックします。 接続されている各サーバーに関する次の情報を表示できます: 資産情報、グループ情報、オペレーティングシステムの種類、サービスプロバイダー、およびリージョン。 サーバーに追加されたタグや、サーバーにインストールされているSecurity Centerエージェントのステータスを表示することもできます。

      image.png

プロキシクラスターの削除

プロキシアクセス機能を使用して追加されたサーバーを保護するためにSecurity Centerを使用する必要がなくなった場合は、次の操作を実行してプロキシクラスターを削除できます。

  1. 追加したサーバーをプロキシクラスターから切断します。

    1. On theクライアント > プロキシのアクセスタブでプロキシクラスターを見つけ、クライアントにアクセスするで、操作する列を作成します。

    2. クライアントにアクセスする パネルで、選択したすべてのサーバーをクリアし、[OK] をクリックします。

    この操作により、追加されたすべてのサーバーがプロキシクラスターから切断されますが、サーバーからSecurity Centerエージェントはアンインストールされません。 サーバーでコマンドを実行して、Security Centerエージェントをアンインストールできます。 詳細については、「コマンドを実行してSecurity Centerエージェントをアンインストールする」をご参照ください。

  2. プロキシサーバーを削除します。

    プロキシサーバーがオフラインの場合にのみ削除できます。 aegisプロキシプロセスを停止して、プロキシサーバーをオフラインにすることができます。

    1. 管理者アカウントを使用してプロキシサーバーにログインします。 次に、次のコマンドを実行してaegisプロキシプロセスを停止します。

      ps -ef | grep aegis
      kill PID # /usr/local/aegis/proxy/ID of the SasClientProxy process
      説明

      プロセスを停止する権限がない場合は、クライアント保護機能を無効にします。 詳細については、「エージェント設定タブの機能の有効化」をご参照ください。

    2. クライアント > プロキシのアクセス タブでプロキシクラスターを見つけ、サーバー基本情報 列の服务器图标アイコンをクリックします。

    3. サーバー基本情報 パネルで、各プロキシサーバーの [操作] 列の 削除 をクリックします。

      image.png

  3. プロキシクラスターからすべてのプロキシサーバーを削除した後、プロキシクラスターリストでプロキシクラスターを見つけ、操作する 列の 削除 をクリックします。

プロキシサーバーのバージョンをアップグレードする

接続パフォーマンスを向上させるために、Security Centerはプロキシサーバーの最新バージョンを継続的に検出して表示します。 ビジネス要件に基づいて、プロキシサーバーを最新バージョンにアップグレードするかどうかを決定できます。

  1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

  2. 左側のナビゲーションウィンドウで、システム設定 > 機能の設定.

  3. クライアント > プロキシのアクセス タブでプロキシクラスターを見つけ、サーバー基本情報 列の服务器图标アイコンをクリックします。

  4. サーバー基本情報 パネルで、バージョンをアップグレードするプロキシサーバーを見つけ、操作する 列の アップグレード をクリックします。

    アップグレード ボタンが暗く表示されている場合、プロキシサーバーが最新バージョンを実行しているか、Security Centerエージェントがオフラインになっています。 Security Centerエージェントがオフラインの場合、エージェントがオフラインの理由をトラブルシューティングする必要があります。 エージェントがオンラインになったら、バージョンを再度アップグレードします。 詳細については、「Security Centerエージェントがオフラインになっている理由のトラブルシューティング」をご参照ください。