Alibaba Cloud Security Center #26 Risk への対処

このブログを提供している Web サーバや Database インスタンスは Alibaba Cloud で構築しており、Security Center でセキュリティリスクに対応しています。　その Security Center から案内されたセキュリティリスクに対処する話です。　

ダッシュボードから 99点とマイナス1点分のリスクがあるとのこと。　Alibaba Cloud のコンソールにログインしリスクの内容を確認していきます。

RDS-database security policy failed, security risks ということで ApsaraDB RDS に関するリスクのようです。1年近く Security Center を利用していて初めてのケースです。

RDS の監査や暗号化に関するセキュリティポリシーについてリスクがあるようです。

上の英文を日本語に訳すと以下の通り。（手抜きで Google 翻訳使いました）

1.クラウドセキュリティシステムでは、データベースがSQL監査機能を有効にして、オフサイト、データの改ざん、または誤操作の発生の証拠があることを確認する必要があります。

2.クラウドセキュリティシステムでは、データベースが暗号化送信（SSL）機能を有効にして、送信および保存中のデータのセキュリティを確保し、攻撃者がデータベースアカウントとパスワードを盗むのを防ぐ必要があります。 

3.クラウドセキュリティシステムでは、データベースが透過的データ暗号化（TDE）を有効にして、ストレージプロセス内のデータのセキュリティを確保し、攻撃者がプレーンテキストデータベースファイルを直接取得するのを防ぐ必要があります。

2つの解決方法も提示されました。

解決策I： 管理コンソール-クラウドサーバーデータベースRDS-データセキュリティに移動し、次の手順を実行します。 
1. [SQL監査]タブをクリックして、SQL監査を有効にします。 
2. [SSL]タブをクリックし、SSLを設定し、ウィザードとヘルプのドキュメントに従って設定します。 
3. [TDE]タブをクリックして、TDEを開きます（最初に鍵管理サービスKMSを開く必要があります）。 詳細な手順については、ヘルプドキュメントを参照してください。 

解決策II： データセキュリティセンターのクラウドネイティブ監査機能を使用して、エージェントをインストールせずに900ルールの包括的な監査を実行することをお勧めします。 
ガイダンスプログラムのトライアルリンク 
https://yundun.console.aliyun.com/?p=sddp#/overview?guidance

解決策I を実際に適用します。しかし、上記の手順通りにデータセキュリティ（Data Security）の画面にアクセスしますが、SQL 監査タブやSSLタブ、TDEタブが見つかりません。　Whiteliset Settings と Security Group しかありません。

Data Security の他の項目も探してみましたが SQL 監査や SSL 、TDE に関する設定は見つかりません。

ものは試しに RDS インスタンスの Kernel を最新化します。　Kernel の最新化は Auto と Manual を設定出来るのですが、私のは環境は Manual なので手動実行します。

Upgrade は 5分間位で問題なく終了しました。

しかし、Kernel Upgrade 後も SQL 監査や SSL 、TDE のタブは表示されませんでした。

マニュアル（Document Center)を確認することにします。　以下の通り、2019年9月に SQL audit は SQL Explorer にアップグレードされたとのこと。

SQL Explorer のマニュアルを確認します。　

以下のバージョン・エディションが SQL Explorer の利用条件とのこと。　　Enterprise ないし High-availability Edition が必要です。　私が使っている RDS は Basic となります。　結論、SQL監査（SQL audit ≒ SQL Explorer）は利用出来ないことがわかりました。