Alibaba Cloud Security Center #2 Baseline Check の活用

今回はSecurity Center のBaseline Check 機能を使ってみます。 実環境(このブログをホストするサーバ)についてBaseline Check から提示された Risk 事項を確認し、対処し、最終的にRisk を解消するところまでやってみます。

話は変わりますがコロナウイルスの影響で在宅勤務がデフォルトとなり移動時間を有効活用出来るようになっています。具体的にはこのブログ執筆にあてることが出来るようになりました。 運動不足になりそうですが。

1. Baseline Check とは

Baseline Check はサーバの構成を確認し、脆弱性をレポートする機能です。 以下のような脆弱性を検知できます。

  1. アカウントセキュリティ
    • パスワードのポリシー準拠
    • 脆弱なパスワード
  2. システム構成の潜在的なリスク
    • グルー歩ポリシー
    • レジストリ構成
  3. コンプライアンス要件
    • コンプライアンスへの適合
    • 例としてCIS-Linux Centos7 benchmark

実際の結果を見てみましょう。

2. Baseline Check から提示されたRisk

2.1. Security Center 管理画面へのアクセス

Cloud Security Center の管理画面へアクセスします。  

しかし、Alibaba Cloud コンソールのトップ画面には”Security Center”は見当たりません。 ”Server Guard”からアクセスします。 

以下のアナウンスがポップアップされSecurity Center の画面にアクセス出来ます。

Overview はダッシュボードの機能を提供します。 Baseline Risks が2件あることが確認出来ます。

それではRisks 2件の対処を行います。

3. Riskへの対処

3.1. Riskの確認

左メニューから”Baseline Check”を確認します。 またはダッシュボード画面からBaseline risks の数字リンクからもアクセス出来ます。

現状、Severityが”High”は3つあります。赤いアイコンのHigh の2件がRiskの対象です。”Weak password – Linux system login weak password baseline”はRisk Free ということでBaseline Check から問題なしと判断されています。

3.2. Alibaba Cloud Standard – Mysql Security Baseline Check への対応

まずはMySQL Security Baseline Check から対応します。 詳細を確認していきます。

画面からドリルダウンしていくと詳細な情報を得ることが出来ます。

例えば一番上の”Ensure ‘local-infile’ is Disabled”のDetailsリンクをクリックします。

リスクの説明とその対処方法まで説明があります。

それぞれの対応内容の詳細は割愛しますが、案内を参考に必要な対応を実施します。

3.3. Weak password – Mysql DB login weak password baseline への対応

こちらもドリルダウンして詳細を確認します。

パスワードの強度が低いので不正侵入されるリスクがあるよとのこと。

パスワードは以下を理由に簡単な文字列にしていました。

  • MySQLをインターネットに直接公開してない
  • 1台のサーバにApacheもMySQLもWordpressも同居しておりApacheやWordpressが不正侵入されたら強度の高いパスワードも意味をなさない

と言い訳しても仕方が無いのでこの機会にパスワードを変更します。 

4. Baseline Check による確認

Baseline Check 画面で状況を再確認します。

すべてRisk Free になりました。 

5. まとめ

OSやミドルウェア含むシステムの脆弱性の検知とその対応をSecurity Center を利用することで簡単に実施出来ました。所感としては”使える”です。 操作も直感的でわかりやすいのとRisk の説明や対応方法まで案内される点が良いと思いました。

対象システムへのエージェントインストールは必要ですが、エージェントのインストールもAlibaba Cloud のコンソール上からリモートで簡単に実施可能です。

Security Center は日本サイト契約では利用出来ないプロダクトでした。 この機能を利用しセキュリティのベースラインを定期的かつ自動的にチェックできるようになったことは国際サイトへ移行した大きなメリットになりそうです。