Alibaba Cloud Security Center #26 Risk への対処

このブログを提供している Web サーバや Database インスタンスは Alibaba Cloud で構築しており、Security Center でセキュリティリスクに対応しています。 その Security Center から案内されたセキュリティリスクに対処する話です。 

ダッシュボードから 99点とマイナス1点分のリスクがあるとのこと。 Alibaba Cloud のコンソールにログインしリスクの内容を確認していきます。

RDS-database security policy failed, security risks ということで ApsaraDB RDS に関するリスクのようです。1年近く Security Center を利用していて初めてのケースです。

RDS の監査や暗号化に関するセキュリティポリシーについてリスクがあるようです。

上の英文を日本語に訳すと以下の通り。(手抜きで Google 翻訳使いました)

1.クラウドセキュリティシステムでは、データベースがSQL監査機能を有効にして、オフサイト、データの改ざん、または誤操作の発生の証拠があることを確認する必要があります。

2.クラウドセキュリティシステムでは、データベースが暗号化送信(SSL)機能を有効にして、送信および保存中のデータのセキュリティを確保し、攻撃者がデータベースアカウントとパスワードを盗むのを防ぐ必要があります。 

3.クラウドセキュリティシステムでは、データベースが透過的データ暗号化(TDE)を有効にして、ストレージプロセス内のデータのセキュリティを確保し、攻撃者がプレーンテキストデータベースファイルを直接取得するのを防ぐ必要があります。

2つの解決方法も提示されました。

解決策I: 管理コンソール-クラウドサーバーデータベースRDS-データセキュリティに移動し、次の手順を実行します。 
1. [SQL監査]タブをクリックして、SQL監査を有効にします。 
2. [SSL]タブをクリックし、SSLを設定し、ウィザードとヘルプのドキュメントに従って設定します。 
3. [TDE]タブをクリックして、TDEを開きます(最初に鍵管理サービスKMSを開く必要があります)。 詳細な手順については、ヘルプドキュメントを参照してください。 

解決策II: データセキュリティセンターのクラウドネイティブ監査機能を使用して、エージェントをインストールせずに900ルールの包括的な監査を実行することをお勧めします。 
ガイダンスプログラムのトライアルリンク 
https://yundun.console.aliyun.com/?p=sddp#/overview?guidance

解決策I を実際に適用します。 しかし、上記の手順通りにデータセキュリティ(Data Security)の画面にアクセスしますが、SQL 監査タブSSLタブTDEタブが見つかりません。 Whiteliset SettingsSecurity Group しかありません。

Data Security の他の項目も探してみましたが SQL 監査SSLTDE に関する設定は見つかりません。

ものは試しに RDS インスタンスの Kernel を最新化します。 Kernel の最新化は Auto と Manual を設定出来るのですが、私のは環境は Manual なので手動実行します。

Upgrade は 5分間位で問題なく終了しました。

しかし、Kernel Upgrade 後も SQL 監査SSL TDE のタブは表示されませんでした。

マニュアル(Document Center)を確認することにします。 以下の通り、2019年9月に SQL audit は SQL Explorer にアップグレードされたとのこと。

SQL Explorer のマニュアルを確認します。 

以下のバージョン・エディションが SQL Explorer の利用条件とのこと。  Enterprise ないし High-availability Edition が必要です。 私が使っている RDS は Basic となります。 結論、SQL監査(SQL audit ≒ SQL Explorer)は利用出来ないことがわかりました。

  • MySQL 8.0 on RDS Enterprise Edition
  • MySQL 8.0 on RDS High-availability Edition
  • MySQL 5.7 on RDS Enterprise Edition
  • MySQL 5.7 on RDS High-availability Edition
  • MySQL 5.6
  • MySQL 5.5

SSL も TDE も同様に私が利用している Basic Edition ではそのそも未対応な機能でした。

以下は SSL に関するドキュメント。 Prerequisites には Enterprise ないし High-availabilitiy Edition がサポート対象となることがわかります。

以下は TDE のドキュメント。 こちらも Basic は未対応でした。

結論として、今回の Security Center からの Risk の案内は Whitelist に追加し無視することにしました。スコアも 100 点を回復です。

以上