Cloud Firewallのデフォルトの侵入防止システム (IPS) は、攻撃、エクスプロイト、ブルートフォース攻撃、ワーム、マイニングプログラム、トロイの木馬、およびDoS攻撃によって生成される悪意のあるトラフィックをリアルタイムで事前に検出してブロックします。 これにより、クラウド上のエンタープライズ情報システムとネットワークアーキテクチャが攻撃から保護され、不正アクセスやデータ漏洩が防止され、ビジネスシステムやアプリケーションの損傷や障害が防止されます。
なぜIPS?
クラウドでの一般的なサイバー攻撃
IPSのクラウドファイアウォール
IPS of Cloud Firewallは、悪意のあるトラフィックをブロックし、仮想パッチを提供し、悪意のあるアウトバウンドトラフィックを拒否し、共有脅威インテリジェンスを使用し、機械学習に基づいたインテリジェントモデルを構築して、企業のクラウドサービスを包括的かつ効率的に保護します。
Cloud FirewallのIPSには、5,000を超える基本的な保護アイテムと仮想パッチが用意されており、これらを使用して脆弱性の悪用を効率的にブロックし、攻撃の公開期間を短縮できます。
企業のクラウド業務システムに脆弱性が存在する場合、脆弱性を修正するためにパッチをインストールする必要があります。 ほとんどの場合、脆弱性の修正には長い時間がかかり、特定のパッチのインストールにはサービスの再起動が必要になる場合があります。 ただし、Cloud Firewallを使用する場合、リスクの高い脆弱性とゼロデイ脆弱性をブロックするには3時間しかかかりません。 Cloud Firewallは、パッチを手動でインストールしたり、サーバーを再起動したりすることなく、サービスを効率的に保護します。
また、Cloud FirewallのIPSは、最も早い機会に悪意のあるアウトバウンドトラフィックを検出して保護します。 たとえば、IPSは、侵害されたビジネスシステムからコマンドおよび制御サーバーへの悪意のあるアウトバウンドトラフィックを検出し、異常なアウトバウンド接続を検出します。 IPSは、悪意のあるトラフィックが検出されるとアラートを生成し、悪意のあるトラフィックを拒否します。 これにより、データリークや攻撃の伝播のリスクが軽減されます。
IPS of Cloud Firewallは、Alibaba Cloudの大量の脅威インテリジェンスを使用して、悪意のあるIPアドレス、ドメイン名、C&CサーバーのIPアドレス、スキャナー、およびクラッカーをリアルタイムで正確に検出できます。
Cloud Firewallは、Alibaba Cloudによって蓄積された大量の攻撃データと攻撃方法を使用して、未知の脅威から効果的に防御するのに役立つインテリジェントモデルを構築します。
クラウドファイアウォールIPSの実装
Cloud Firewallは、シリーズモードでクラウドネットワークにデプロイされます。 インターネットからのトラフィック、NATゲートウェイを通過するトラフィック、内部ネットワーク内のVPC間のトラフィック、クラウドとオンプレミスのデータセンター間のトラフィックを保護します。 次の図は、ネットワークアーキテクチャを示しています。
Cloud Firewallは、Cloud Firewallを通過するすべてのネットワークトラフィックを監視し、Cloud FirewallのIPSエンジンとACLエンジンを使用してトラフィックをフィルタリングし、通常のトラフィックを転送します。
Cloud Firewallは、Deep Packet Inspection (DPI) エンジンを使用して、ネットワークトラフィックを検出および識別します。 ネットワークトラフィックのプロトコルを識別し、パケットを解析できます。 Cloud Firewallは、トラフィックとパケットをフィルタリングして、IPS攻撃と脅威インテリジェンスを識別します。 観察モード 、ブロックモード - 緩い 、ブロックモード - 中程度 、ブロックモード - 厳格 など、さまざまなモードの脅威検出エンジンのルールとIPSルールがヒットした場合、攻撃パケットは破棄または許可されます。 このようにして、アラートが生成され、攻撃がリアルタイムでブロックされます。
Cloud Firewallでサポートされている攻撃の種類
脅威検出エンジンのモードを設定する方法の詳細については、「IPS設定」をご参照ください。
攻撃タイプ | アタックハザード | 提案 |
疑わしい接続 | 攻撃者は、スキャナーを使用してサーバー上の開いているポートをスキャンできます。 サーバーにパスワードが弱い不正なデータベースポートまたはサービスがある場合、データの損失またはデータリークが発生する可能性があります。 たとえば、Redisへの不正アクセスは一般的なリスクです。 Redisデータベースのセキュリティ設定が適切に構成されていない場合、攻撃者は機密データを取得したり、不正アクセスを実装してデータベースに損害を与えたりする可能性があります。 | ポート80、443、または8080が有効になっているMySQLアプリケーションやSQL Serverアプリケーションなど、web以外のアプリケーションが多数ある場合は、シェルコードや機密操作などの動作のルールがヒットしているかどうかに注意してください。 ルールは、webアプリケーション以外を対象とした攻撃方法でもあります。 上記のweb以外のアプリケーションがない場合は、ブロックモード - 厳格 を有効にすることを推奨します。 |
コマンド実行 | 攻撃者が悪意のあるコマンドを実行すると、深刻な結果が発生する可能性があります。 例えば、サーバの制御許可が取得され、機密データが漏洩し、他のシステムが攻撃される可能性がある。 たとえば、攻撃者はLog4jの脆弱性を悪用して悪意のあるコマンドを実行する可能性があります。 | Block Mode - Looseモードを使用すると、一般的および非一般的なリモートコマンド実行 (RCE) 攻撃からほとんどのwebアプリケーションを保護できます。 このモードは、毎日の保護要件も満たしています。 RCE攻撃は、さまざまな攻撃の中で最も有害です。 ブロックモード-中モードを使用してRCE攻撃から保護する場合は、各モジュールのルールのヒット詳細に注意する必要があります。 ビジネスが複雑で、web以外のアプリケーションが多数ある場合は、ブロックモード - 厳格 を有効にすることを推奨します。 |
スキャン中 | ネットワークスキャンによってマシンやネットワークデバイスが過負荷になると、サービスの中断や安定性の問題が発生する可能性があります。 その結果、システムが応答を停止したり、サービスが利用できなくなったりする可能性があります。 | ビジネスでサーバーメッセージブロック (SMB) 名前付きパイプが有効になっているかどうかを確認することをお勧めします。 SMB名前付きパイプは、ファイル共有などの機能に使用されます。 ビジネスでSMB名前付きパイプを使用する必要がない場合は、潜在的なセキュリティリスクを軽減するためにSMB名前付きパイプを無効にすることを推奨します。 SMB名前付きパイプを使用する必要がある場合は、ブロックモード - 中程度 または ブロックモード - 厳格 を有効にすることを推奨します。 |
情報漏えい | 情報漏えいは、個人のプライバシー権の侵害、およびIDカード番号、連絡先情報、財務情報などの機密情報の不正使用につながる可能性があります。 | 情報漏洩の定義は、ビジネスによって異なる場合があります。 ブロックモード - 中程度とブロックモード - 厳格のルールのヒットの詳細をメモしてください。 観察モード を有効にして、ルールのヒット詳細をモニターし、24時間、1週間、1か月などのビジネスサイクル内に誤検知が報告されているかどうかを確認することを推奨します。 観察モード で誤検出が報告されない場合、通常のトラフィックは脅威として識別されません。 この場合、ブロックモード - 中程度 または ブロックモード - 厳格 を有効にできます。 |
DoS攻撃 | マシンまたはネットワークデバイスがDoS攻撃によって過負荷になると、サービスの中断や安定性の問題が発生する可能性があります。 その結果、システムが応答を停止したり、サービスが利用できなくなったりする可能性があります。 | DoS攻撃は害が少ない。 原因不明のためにサービスが中断または中断されているかどうかを確認できます。 サービスに影響がない場合は、ブロックモード - 緩い 設定を維持できます。 ビジネスで高レベルのサービス稼働時間が必要な場合は、ブロックモード - 中程度 または ブロックモード - 厳格 を選択できます。 |
オーバーフロー攻撃 | オーバーフロー攻撃によってマシンまたはネットワークデバイスが過負荷になると、サービスの中断または安定性の問題が発生する可能性があります。 その結果、システムが応答を停止したり、サービスが利用できなくなったりする可能性があります。 | オーバーフロー攻撃は、バイナリ表現の入力ポイントが厳密に制御されていない場合に発生します。 この場合、パラメータ設定中にアウトオブバウンズアクセスが発生し、コマンド実行や情報漏洩などの攻撃が開始されます。 オーバーフロー攻撃から保護する場合は、webアプリケーション以外の攻撃のヒット詳細に注意してください。 ビジネスに主にwebアプリケーションが含まれている場合は、ブロックモード - 緩い を選択できます。 ビジネスにweb以外のアプリケーションが多数含まれている場合は、ブロックモード - 中程度 または ブロックモード - 厳格 を選択することを推奨します。 |
Web攻撃 | Web攻撃は深刻なセキュリティ上の脅威です。 攻撃者は、特定のサーバーに対する制御権限を取得し、web攻撃を開始することで機密データを盗みます。 これは、サービスの中断を引き起こし得る。 | 一般的なweb攻撃には、SQLインジェクション、XSS攻撃、およびOpen Web Application Security Project (OWASP) Top 10にリストされている任意のファイルが含まれます。 これらの攻撃を防ぐために、カナリアリリースおよびルールの公式リリース中に厳密なテストを実行することをお勧めします。 また、ルーチンのO&Mでは、ブロックモード - 中程度 または ブロックモード - 厳格 を有効にすることを推奨します。 |
トロイの木馬 | トロイの木馬は、被害者のマシンへの継続的な不正アクセスを提供するマルウェアの一種です。 システムの脆弱性が修正されても、攻撃者はシステムに再度アクセスできます。 攻撃者は、侵入したシステムを長期間監視し、トロイの木馬を使用して機密データを盗むことができます。 トロイの木馬によって侵害されたシステムは、法的責任、訴訟、罰金、および評判の損害につながる可能性があります。 | ほとんどの場合、暗号化、難読化、およびエンコーディングは、保護対策を回避するためにトロイの木馬通信で使用されます。 ブロックモード-厳密モードでは、通常、検出とブロックに弱い機能が使用されます。 日常の操作では、ブロックモード-中モードを有効にすることを推奨します。 ほとんどの場合、暗号化、難読化、およびエンコーディングは、保護対策を回避するためにトロイの木馬通信で使用されます。 ブロックモード-厳密モードでは、通常、検出とブロックに弱い機能が使用されます。 ルーチンのO&Mでは、ブロックモード - 中程度 または ブロックモード - 厳格 を有効にすることを推奨します。 |
ワーム | ワームは、被害者のマシンへの継続的な不正アクセスを提供する永続的なマルウェアの一種です。 システムの脆弱性が修正されても、攻撃者はシステムに再度アクセスできます。 攻撃者は、侵入したシステムを長期間監視し、ワームを使用して機密データを盗むことができます。 同時に、ワームによって侵害されたシステムは、法的責任、訴訟、罰金、および評判の損害につながる可能性があります。 | ほとんどの場合、このタイプの攻撃はホストを侵害します。 観察モード でルールがヒットした場合は、トレーサビリティ分析機能を使用して攻撃の発生源を特定し、適切な対策を講じる必要があります。 ルールがヒットしない場合、ホストは安全に実行されています。 この場合、ブロックモード - 中程度 を有効にすることを推奨します。 |
マイニング | マイニングは、マシンの帯域幅リソースとコンピューティングパワーを占有する悪意のある動作であり、システムの吃音を引き起こし、システムのパフォーマンスに影響を与えます。 その結果、アプリケーションの実行速度の低下や応答遅延などの問題が発生し、効率とエクスペリエンスに悪影響を及ぼします。 | ほとんどの場合、このタイプの攻撃はホストを侵害します。 観察モード でルールがヒットした場合は、トレーサビリティ分析機能を使用して攻撃の発生源を特定し、適切な対策を講じる必要があります。 ルールがヒットしない場合、ホストは安全に実行されています。 この場合、ブロックモード - 中程度 を有効にすることを推奨します。 |
逆シェル | リバースシェルは、被害者のマシンへの継続的な不正アクセスを提供する攻撃ツールです。 システムの脆弱性が修正されても、攻撃者はシステムに再度アクセスできます。 攻撃者は、侵入したシステムを長期間監視し、リバースシェルを使用して機密データを盗むことができます。 同時に、リバースシェルによって侵害されたシステムは、法的責任、訴訟、罰金、および評判の損害につながる可能性があります。 | ほとんどの場合、このタイプの攻撃はホストを侵害します。 観察モード でルールがヒットした場合は、トレーサビリティ分析機能を使用して攻撃の発生源を特定し、適切な対策を講じる必要があります。 ルールがヒットしない場合、ホストは安全に実行されています。 この場合、ブロックモード - 中程度 を有効にすることを推奨します。 |
その他 | 不正なアウトバウンド接続に使用される攻撃と、アウトバウンド接続によって引き起こされる攻撃が含まれます。 分類できない攻撃も含まれます。 |
|