ここでは、O&M の観点から ECS インスタンス用のデータセキュリティを実装する方法を紹介します。

対象ユーザー

この内容は、Alibaba Cloud が初めての個人や企業に適用されます。

目次

  • データの定期的なバックアップ
  • セキュリティドメインの適切な設計
  • セキュリティグループのルールの設定
  • ログインパスワードの設定
  • サーバーポートセキュリティ
  • アプリケーション脆弱性の保護
  • セキュリティ情報収集

データの定期的なバックアップ

耐障害性の基盤として、データのバックアップは、システム障害、操作エラー、およびセキュリティ問題によるデータ損失のリスクを減らすことを目的としています。 ECS インスタンスは、スナップショットバックアップ機能を備えています。 スナップショット機能を正しく使用することにより、ほとんどのユーザーのデータバックアップ要件が満たされます。 実際の業務ニーズに応じて独自のバックアップポリシーをカスタマイズすることを推奨します。 [スナップショットの作成] または [自動スナップショットポリシーの作成] を選択し、ポリシーを特定のディスクに適用します。 自動スナップショットを毎日取り、少なくとも 7 日間保存することを推奨します。 よいバックアップ習慣は、迅速なデータ回復と、障害発生時の損失の最小化に役立ちます。

セキュリティドメインの適切な設計

SDN (ソフトウェア定義ネットワーク) テクノロジーに基づいて開発された VPC を使用して、企業内でセキュリティレベルが異なるサーバーを分離するプライベートネットワークを構築し、サーバーが相互接続ネットワークを介して相互に影響を与えるのを防ぐことが可能です。

VPC を作成し、IP アドレス範囲、ネットワークセグメント、ルートテーブル、およびゲートウェイを設定することを推奨します。 インターネットから完全に分離されているイントラネットに重要なデータを格納します。 EIP (Elastic IP) アドレスまたは Jumper Server を使用して、日々の O&M でデータを管理します。

セキュリティグループのルールの設定

セキュリティ分離の重要な手段として、セキュリティグループを使用して、1 つ以上の ECS インスタンスに対してネットワークアクセス制御を設定します。 セキュリティグループを使用すると、インスタンスレベルでファイアウォールポリシーを設定し、ネットワーク層でインスタンスのアクティブアクセスとパッシブアクセスをフィルタリングします。 具体的には、ポート上のインバウンドとアウトバウンドのアクセスを制限し、IP アドレスへのアクセスを許可し、攻撃を減らし、インスタンスのセキュリティを強化します。

たとえば、Linux のデフォルトではリモートポートは 22 であり、インターネットに直接開放してはいけません。 セキュリティグループを設定して、インスタンスにアクセスするための固定 IP アドレスの許可など、ECS インスタンスへのインターネットアクセスを制御します。 セキュリティグループの詳細については、「アプリケーション事例」をご参照ください。 より高い要件がある場合は、サードパーティ製 VPN プロダクトを使用してログインデータを暗号化することも可能です。 その他のソフトウェアについては、「Alibaba Cloud Market」をご参照ください。

ログインパスワードの設定

脆弱なパスワードは最も一般的な脆弱性の 1 つであり、容易に悪用される可能性が高いため、データ漏えいの主な原因となっています。 サーバーのパスワードは 8 文字以上とし、大文字と小文字、数字、特殊文字を含めて複雑にすることを推奨します。 また、パスワードは定期的に変更する必要があります。

サーバーポートセキュリティ

サーバーがインターネットサービスを提供している限り、対応するポートはインターネットに公開されます。 セキュリティ管理の観点からは、ポートをより多く開けるほど、システムリスクがより高くなることを意味します。 インターネットに必要な数のポートのみ開くことを推奨します。 共通ポートをカスタマイズポート (ポート 30000 以上) に変更し、アクセス制御をサービスポートに実装する必要があります。

たとえば、データベースサービスをイントラネットに限定し、インターネットからのアクセスを防ぐことを推奨します。 インターネットからデータベースに直接アクセスする必要がある場合は、接続ポートを 3306 からそれより大きなポートに変更し、業務ニーズに応じて関連する IP アドレスを許可する必要があります。

アプリケーション脆弱性の保護

アプリケーションの脆弱性は、Web アプリケーション、キャッシュ、データベース、およびストレージのデータに不正にアクセスするためにハッカーが悪用する可能性のある、セキュリティ上の欠陥です。 一般的なアプリケーションの脆弱性には、SQL インジェクション、XSS 攻撃、Web シェル、バックドア、コマンドインジェクション、不正な HTTP リクエスト、一般的な Web サーバーの脆弱性攻撃、コアファイルへの不正アクセス、パストラバーサルなどがあります。 これらの脆弱性はシステムの脆弱性とは異なり、修正が困難です。 初期設計時にアプリケーションのセキュリティが保証されない場合、このような脆弱性によりサーバーが攻撃される可能性があります。 そのため、 WAF (Web Application Firewall) をインストールして、さまざまな攻撃を防ぎ、Web サイトのセキュリティと可用性を確保することを推奨します。