このブログを提供している Web サーバや Database インスタンスは Alibaba Cloud で構築しており、Security Center でセキュリティリスクに対応しています。 その Security Center から案内されたセキュリティリスクに対処する話です。
ダッシュボードから 99点とマイナス1点分のリスクがあるとのこと。 Alibaba Cloud のコンソールにログインしリスクの内容を確認していきます。
RDS-database security policy failed, security risks ということで ApsaraDB RDS に関するリスクのようです。1年近く Security Center を利用していて初めてのケースです。
RDS の監査や暗号化に関するセキュリティポリシーについてリスクがあるようです。
上の英文を日本語に訳すと以下の通り。(手抜きで Google 翻訳使いました)
1.クラウドセキュリティシステムでは、データベースがSQL監査機能を有効にして、オフサイト、データの改ざん、または誤操作の発生の証拠があることを確認する必要があります。 2.クラウドセキュリティシステムでは、データベースが暗号化送信(SSL)機能を有効にして、送信および保存中のデータのセキュリティを確保し、攻撃者がデータベースアカウントとパスワードを盗むのを防ぐ必要があります。 3.クラウドセキュリティシステムでは、データベースが透過的データ暗号化(TDE)を有効にして、ストレージプロセス内のデータのセキュリティを確保し、攻撃者がプレーンテキストデータベースファイルを直接取得するのを防ぐ必要があります。
2つの解決方法も提示されました。
解決策I: 管理コンソール-クラウドサーバーデータベースRDS-データセキュリティに移動し、次の手順を実行します。 1. [SQL監査]タブをクリックして、SQL監査を有効にします。 2. [SSL]タブをクリックし、SSLを設定し、ウィザードとヘルプのドキュメントに従って設定します。 3. [TDE]タブをクリックして、TDEを開きます(最初に鍵管理サービスKMSを開く必要があります)。 詳細な手順については、ヘルプドキュメントを参照してください。 解決策II: データセキュリティセンターのクラウドネイティブ監査機能を使用して、エージェントをインストールせずに900ルールの包括的な監査を実行することをお勧めします。 ガイダンスプログラムのトライアルリンク https://yundun.console.aliyun.com/?p=sddp#/overview?guidance
解決策I を実際に適用します。 しかし、上記の手順通りにデータセキュリティ(Data Security)の画面にアクセスしますが、SQL 監査タブやSSLタブ、TDEタブが見つかりません。 Whiteliset Settings と Security Group しかありません。
Data Security の他の項目も探してみましたが SQL 監査や SSL 、TDE に関する設定は見つかりません。
ものは試しに RDS インスタンスの Kernel を最新化します。 Kernel の最新化は Auto と Manual を設定出来るのですが、私のは環境は Manual なので手動実行します。
Upgrade は 5分間位で問題なく終了しました。
しかし、Kernel Upgrade 後も SQL 監査や SSL 、TDE のタブは表示されませんでした。
マニュアル(Document Center)を確認することにします。 以下の通り、2019年9月に SQL audit は SQL Explorer にアップグレードされたとのこと。
SQL Explorer のマニュアルを確認します。
以下のバージョン・エディションが SQL Explorer の利用条件とのこと。 Enterprise ないし High-availability Edition が必要です。 私が使っている RDS は Basic となります。 結論、SQL監査(SQL audit ≒ SQL Explorer)は利用出来ないことがわかりました。
- MySQL 8.0 on RDS Enterprise Edition
- MySQL 8.0 on RDS High-availability Edition
- MySQL 5.7 on RDS Enterprise Edition
- MySQL 5.7 on RDS High-availability Edition
- MySQL 5.6
- MySQL 5.5
SSL も TDE も同様に私が利用している Basic Edition ではそのそも未対応な機能でした。
以下は SSL に関するドキュメント。 Prerequisites には Enterprise ないし High-availabilitiy Edition がサポート対象となることがわかります。
以下は TDE のドキュメント。 こちらも Basic は未対応でした。
結論として、今回の Security Center からの Risk の案内は Whitelist に追加し無視することにしました。スコアも 100 点を回復です。
以上