すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:概要

最終更新日:Dec 13, 2024

Cloud Firewallのデフォルトの侵入防止システム (IPS) は、攻撃、脆弱性エクスプロイト、ブルートフォース攻撃、ワーム、マイニングプログラム、トロイの木馬、およびDoS攻撃によって生成される悪意のあるトラフィックをリアルタイムで事前に検出およびブロックします。 これにより、クラウド上のエンタープライズ情報システムとネットワークアーキテクチャが攻撃から保護され、不正アクセスやデータ漏洩が防止され、ビジネスシステムやアプリケーションの損傷や障害が防止されます。

なぜIPS?

クラウドでの一般的なサイバー攻撃

企業は、重要なビジネスシステムをクラウドに展開して、インターネット向けおよび社内向けのサービスを提供します。 ビジネスシステムには、開発環境、本番環境、およびデータミッドエンド用にデプロイされたものが含まれます。 このシナリオでは、企業は侵入や不正アクセスに遭遇する可能性があります。 これにより、データリーク、サーバーリソースの枯渇、サービスの中断などの脅威が発生します。 結論として、ネットワークは攻撃を広めるための主要なチャネルです。 次のリストは、一般的な攻撃方法を示しています。

  • マルウェア攻撃: マルウェアには、ウイルス、ワーム、トロイの木馬が含まれます。 誤ってマルウェアをクラウドサーバーにダウンロードした場合、サーバーが攻撃される可能性があります。

  • ポートスキャンとブルートフォース攻撃: 攻撃者はスキャンシステムを展開して、世界中の特定のサーバーで使用されている開いているポートをスキャンし、ブルートフォース攻撃を使用してユーザー名とパスワードを推測し、不正アクセスを実装します。 攻撃者は、被害者のマシンにトロイの木馬を挿入し、マシンにマイニングプログラムやランサムウェアをインストールすることもあります。

  • Web脆弱性攻撃: SQLインジェクション、クロスサイトスクリプティング (XSS) 攻撃、クロスサイトリクエストフォーガリー (CSRF) 攻撃、およびリモートコード実行 (RCE) 脆弱性が含まれます。 攻撃者は、アプリケーションまたはWebサイトの脆弱性を悪用して、特定のシステムへの不正アクセスを実装したり、データを改ざんしたり、情報を盗みます。

  • レイヤー4脆弱性攻撃: レイヤー4プロトコルの脆弱性を悪用することによって開始される攻撃が含まれます。

  • データベース攻撃: RedisやMySQLデータベースなどのデータベースに対する攻撃が含まれています。

  • コマンド実行とリバースシェル: 攻撃者は悪意のあるコマンドとリバースシェルを使用して不正アクセスを実装します。

上記の攻撃を防ぐために、企業は、Cloud Firewallの導入、ネットワークセキュリティ構成の強化、脆弱性の修正などのセキュリティ対策と保護ポリシーをできるだけ早く採用する必要があります。 これにより、ビジネスシステムのセキュリティと安定性が確保されます。

IPSのクラウドファイアウォール

IPS of Cloud Firewallは、悪意のあるトラフィックをブロックし、仮想パッチを提供し、悪意のあるアウトバウンドトラフィックを拒否し、共有脅威インテリジェンスを使用し、機械学習に基づいたインテリジェントモデルを構築して、企業のクラウドサービスを包括的かつ効率的に保護します。

  • Cloud FirewallのIPSには、5,000を超える基本的な保護アイテムと仮想パッチが用意されており、これらを使用して脆弱性のエクスプロイトを効率的にブロックし、攻撃の公開期間を短縮できます。

    企業のクラウド業務システムに脆弱性が存在する場合、脆弱性を修正するためにパッチをインストールする必要があります。 ほとんどの場合、脆弱性の修正には長い時間がかかり、特定のパッチのインストールにはサービスの再起動が必要になる場合があります。 ただし、Cloud Firewallを使用する場合、リスクの高い脆弱性とゼロデイ脆弱性をブロックするには3時間しかかかりません。 Cloud Firewallは、パッチを手動でインストールしたり、サーバーを再起動したりすることなく、サービスを効率的に保護します。

  • また、Cloud FirewallのIPSは、最も早い機会に悪意のあるアウトバウンドトラフィックを検出して保護します。 たとえば、IPSは、侵害されたビジネスシステムからコマンドおよび制御サーバーへの悪意のあるアウトバウンドトラフィックを検出し、異常なアウトバウンド接続を検出します。 IPSは、悪意のあるトラフィックが検出されるとアラートを生成し、悪意のあるトラフィックを拒否します。 これにより、データリークや攻撃の伝播のリスクが軽減されます。

  • IPS of Cloud Firewallは、Alibaba Cloudの大量の脅威インテリジェンスを使用して、悪意のあるIPアドレス、ドメイン名、コマンド&コントロール (C&C) サーバーのIPアドレス、スキャナー、およびクラッカーをリアルタイムで正確に検出できます。

  • Cloud Firewallは、Alibaba Cloudによって蓄積された大量の攻撃データと攻撃方法を使用して、未知の脅威から効果的に防御するのに役立つインテリジェントモデルを構築します。

image.png

クラウドファイアウォールIPSの実装

Cloud Firewallは、シリーズモードでクラウドネットワークにデプロイされます。 インターネットからのトラフィック、NATゲートウェイを通過するトラフィック、内部ネットワーク内の仮想プライベートクラウド (VPC) 間のトラフィック、クラウドとオンプレミスのデータセンター間のトラフィックを保護します。 次の図は、ネットワークアーキテクチャを示しています。

image

Cloud Firewallは、Cloud Firewallを通過するすべてのネットワークトラフィックを監視し、Cloud FirewallのIPSエンジンとACLエンジンを使用してトラフィックをフィルタリングし、通常のトラフィックを転送します。

Cloud Firewallは、Deep Packet Inspection (DPI) エンジンを使用して、ネットワークトラフィックを検出および識別します。 ネットワークトラフィックのプロトコルを識別し、パケットを解析できます。 Cloud Firewallは、トラフィックとパケットをフィルタリングして、IPS攻撃と脅威インテリジェンスを識別します。 観察モードブロックモード - 緩いブロックモード - 中程度ブロックモード - 厳格 など、さまざまなモードの脅威検出エンジンのルールとIPSルールがヒットした場合、攻撃パケットは破棄または許可されます。 このようにして、アラートが生成され、攻撃がリアルタイムでブロックされます。

image.png

Cloud Firewallでサポートされている攻撃の種類

説明

脅威検出エンジンのモードを設定する方法の詳細については、「IPS設定」をご参照ください。

攻撃タイプ

アタックハザード

提案

疑わしい接続

攻撃者は、スキャナーを使用してサーバー上の開いているポートをスキャンできます。 サーバーにパスワードが弱い不正なデータベースポートまたはサービスがある場合、データの損失またはデータリークが発生する可能性があります。 たとえば、Redisへの不正アクセスは一般的なリスクです。 Redisデータベースのセキュリティ設定が適切に構成されていない場合、攻撃者は機密データを取得したり、不正アクセスを実装してデータベースに損害を与えたりする可能性があります。

ポート80、443、または8080が有効になっているMySQLアプリケーションやSQL Serverアプリケーションなど、web以外のアプリケーションが多数ある場合は、シェルコードや機密操作などの動作のルールがヒットしているかどうかに注意してください。 ルールは、webアプリケーション以外を対象とした攻撃方法でもあります。

上記のweb以外のアプリケーションがない場合は、ブロックモード - 厳格 を有効にすることを推奨します。

コマンド実行

攻撃者が悪意のあるコマンドを実行すると、深刻な結果が発生する可能性があります。 例えば、サーバの制御許可が取得され、機密データが漏洩し、他のシステムが攻撃される可能性がある。 たとえば、攻撃者はLog4jの脆弱性を悪用して悪意のあるコマンドを実行する可能性があります。

Block Mode - Looseモードを使用すると、ほとんどのwebアプリケーションを一般的および非一般的なRCE攻撃から保護できます。 このモードは、毎日の保護要件も満たしています。 RCE攻撃は、さまざまな攻撃の中で最も有害です。 ブロックモード-中モードを使用してRCE攻撃から保護する場合は、各モジュールのルールのヒット詳細に注意する必要があります。

ビジネスが複雑で、web以外のアプリケーションが多数ある場合は、ブロックモード - 厳格 を有効にすることを推奨します。

スキャン中

ネットワークスキャンによってマシンやネットワークデバイスが過負荷になると、サービスの中断や安定性の問題が発生する可能性があります。 その結果、システムが応答を停止したり、サービスが利用できなくなったりする可能性があります。

ビジネスでサーバーメッセージブロック (SMB) 名前付きパイプが有効になっているかどうかを確認することをお勧めします。 SMB名前付きパイプは、ファイル共有などの機能に使用されます。 ビジネスでSMB名前付きパイプを使用する必要がない場合は、潜在的なセキュリティリスクを軽減するためにSMB名前付きパイプを無効にすることを推奨します。

SMB名前付きパイプを使用する必要がある場合は、ブロックモード - 中程度 または ブロックモード - 厳格 を有効にすることを推奨します。

情報漏えい

情報漏えいは、個人のプライバシー権の侵害、およびIDカード番号、連絡先情報、財務情報などの機密情報の不正使用につながる可能性があります。

情報漏洩の定義は、ビジネスによって異なる場合があります。 ブロックモード - 中程度ブロックモード - 厳格のルールのヒットの詳細をメモしてください。

観察モード を有効にして、ルールのヒット詳細をモニターし、24時間、1週間、1か月などのビジネスサイクル内に誤検知が報告されているかどうかを確認することを推奨します。 観察モードで誤検出が報告されない場合、通常のトラフィックは脅威として識別されません。 この場合、ブロックモード - 中程度 または ブロックモード - 厳格 を有効にできます。

DoS攻撃

マシンまたはネットワークデバイスがDoS攻撃によって過負荷になると、サービスの中断や安定性の問題が発生する可能性があります。 その結果、システムが応答を停止したり、サービスが利用できなくなったりする可能性があります。

DoS攻撃は害が少ない。 原因不明のためにサービスが中断または中断されているかどうかを確認できます。 サービスに影響がない場合は、ブロックモード - 緩い 設定を維持できます。

ビジネスで高レベルのサービス稼働時間が必要な場合は、ブロックモード - 中程度 または ブロックモード - 厳格 を選択できます。

オーバーフロー攻撃

オーバーフロー攻撃によってマシンまたはネットワークデバイスが過負荷になると、サービスの中断または安定性の問題が発生する可能性があります。 その結果、システムが応答を停止したり、サービスが利用できなくなったりする可能性があります。

オーバーフロー攻撃は、バイナリ表現の入力ポイントが厳密に制御されていない場合に発生します。 この場合、パラメータ設定中にアウトオブバウンズアクセスが発生し、コマンド実行や情報漏洩などの攻撃が開始されます。 オーバーフロー攻撃から保護する場合は、webアプリケーション以外の攻撃のヒット詳細に注意してください。

ビジネスに主にwebアプリケーションが含まれている場合は、ブロックモード - 緩い を選択できます。 ビジネスにweb以外のアプリケーションが多数含まれている場合は、ブロックモード - 中程度 または ブロックモード - 厳格 を選択することを推奨します。

Web攻撃

Web攻撃は深刻なセキュリティ上の脅威です。 攻撃者は、特定のサーバーに対する制御権限を取得し、web攻撃を開始することで機密データを盗みます。 これは、サービスの中断を引き起こし得る。

一般的なweb攻撃には、SQLインジェクション、XSS攻撃、およびOpen Web Application Security Project (OWASP) Top 10にリストされている任意のファイルが含まれます。 これらの攻撃を防ぐために、カナリアリリースおよびルールの公式リリース中に厳密なテストを実行することをお勧めします。 また、ルーチンのO&Mでは、ブロックモード - 中程度またはブロックモード - 厳格を有効にすることを推奨します。

トロイの木馬

トロイの木馬は、被害者のマシンへの継続的な不正アクセスを提供するマルウェアの一種です。 システムの脆弱性が修正されても、攻撃者はシステムに再度アクセスできます。 攻撃者は、侵入したシステムを長期間監視し、トロイの木馬を使用して機密データを盗むことができます。 トロイの木馬によって侵害されたシステムは、法的責任、訴訟、罰金、および評判の損害につながる可能性があります。

ほとんどの場合、暗号化、難読化、およびエンコーディングは、保護対策を回避するためにトロイの木馬通信で使用されます。 ブロックモード-厳密モードでは、通常、検出とブロックに弱い機能が使用されます。 日常の操作では、ブロックモード-中モードを有効にすることを推奨します。

ほとんどの場合、暗号化、難読化、およびエンコーディングは、保護対策を回避するためにトロイの木馬通信で使用されます。 ブロックモード-厳密モードでは、通常、検出とブロックに弱い機能が使用されます。

ルーチンのO&Mでは、ブロックモード - 中程度 または ブロックモード - 厳格 を有効にすることを推奨します。

ワーム

ワームは、被害者のマシンへの継続的な不正アクセスを提供する永続的なマルウェアの一種です。 システムの脆弱性が修正されても、攻撃者はシステムに再度アクセスできます。 攻撃者は、侵入したシステムを長期間監視し、ワームを使用して機密データを盗むことができます。 同時に、ワームによって侵害されたシステムは、法的責任、訴訟、罰金、および評判の損害につながる可能性があります。

ほとんどの場合、このタイプの攻撃はホストを侵害します。 観察モード でルールがヒットした場合は、トレーサビリティ分析機能を使用して攻撃の発生源を特定し、適切な対策を講じる必要があります。 ルールがヒットしない場合、ホストは安全に実行されています。 この場合、ブロックモード - 中程度 を有効にすることを推奨します。

マイニング

マイニングは、マシンの帯域幅リソースとコンピューティングパワーを占有する悪意のある動作であり、システムの吃音を引き起こし、システムのパフォーマンスに影響を与えます。 その結果、アプリケーションの実行速度の低下や応答遅延などの問題が発生し、効率とエクスペリエンスに悪影響を及ぼします。

ほとんどの場合、このタイプの攻撃はホストを侵害します。 観察モード でルールがヒットした場合は、トレーサビリティ分析機能を使用して攻撃の発生源を特定し、適切な対策を講じる必要があります。 ルールがヒットしない場合、ホストは安全に実行されています。 この場合、ブロックモード - 中程度 を有効にすることを推奨します。

逆シェル

リバースシェルは、被害者のマシンへの継続的な不正アクセスを提供する攻撃ツールです。 システムの脆弱性が修正されても、攻撃者はシステムに再度アクセスできます。 攻撃者は、侵入したシステムを長期間監視し、リバースシェルを使用して機密データを盗むことができます。 同時に、リバースシェルによって侵害されたシステムは、法的責任、訴訟、罰金、および評判の損害につながる可能性があります。

ほとんどの場合、このタイプの攻撃はホストを侵害します。 観察モード でルールがヒットした場合は、トレーサビリティ分析機能を使用して攻撃の発生源を特定し、適切な対策を講じる必要があります。 ルールがヒットしない場合、ホストは安全に実行されています。 この場合、ブロックモード - 中程度 を有効にすることを推奨します。

その他

不正なアウトバウンド接続に使用される攻撃と、アウトバウンド接続によって引き起こされる攻撃が含まれます。 分類できない攻撃も含まれます。

  • ビジネスにアウトバウンド接続が存在しない場合は、ブロックモード - 緩い を選択できます。

  • さまざまなブラウザとアプリケーションがホストにインストールされていて、アウトバウンド接続が管理されていない場合、攻撃者はアウトバウンドダウンロードとC2通信を使用して攻撃を簡単に開始できます。 これは、インバウンドトラフィックに対する攻撃を開始するのが比較的難しいためです。 上記の攻撃から防御するには、ブロックモード - 厳格を有効にすることを推奨します。

脅威検出エンジンのモード

脅威検出エンジンのモードは、モニターモードとブロックモードです。 基本保護ポリシーと仮想パッチポリシーのアクションは、脅威検出エンジンのモードによって異なります。 たとえば、脅威検出エンジンをBlock - Strictモードに設定した場合、基本的な保護ポリシーと仮想パッチ適用ポリシーのアクションはBlockです。 次のリストに、脅威検出エンジンのモードを示します。

カテゴリ

シナリオ

説明

モニター

保護はサポートされていません。

モニターモードでは、システムは攻撃のみを記録し、攻撃のアラートを生成します。 ただし、システムはブロックモードで攻撃を遮断します。

Apache TomcatのリモートDoS脆弱性 (CVE-2014-0075) 、Atlassian Jira SSRF脆弱性 (CVE-2019-16097) 、およびGodluaバックドアソフトウェア通信

ブロック

ルーズ

システムは、偽陽性の高率を防ぐルールを使用することにより、攻撃を緩やかにブロックします。 このレベルは、偽陽性の割合を最小限に抑えることを必要とするビジネスに適しています。

このレベルでは、システムは、攻撃パケットおよび動作における脆弱性エクスプロイトのキーワードおよび主要パラメータを検出する。 偽陽性は生成され得ない。

Apache Struts 2のRCE脆弱性 (CVE-2018-11776) 、Spark REST APIへの不正アクセス (CVE-2018-11770) 、およびJenkins RCE脆弱性 (CVE-2018-1000861)

システムは標準的な方法で攻撃をブロックします。 このレベルは毎日のO&Mに適しています。

このレベルでは、システムは共通のルールを使用して、脆弱性エクスプロイトのさまざまなタイプの検出方法に基づいて、さまざまなタイプの攻撃を包括的に検出します。 このレベルは、Looseレベルよりも低い偽陽性率を提供する。

Oracle WebLogic ServerのRCE脆弱性 (CVE-2020-2551) 、Microsoft WindowsRDPクライアントのRCE脆弱性 (CVE-2020-1374) 、およびSMBv1 DoS攻撃 (CVE-2020-1301)

ストリクト

システムは、すべてのルールを使用して、厳密な方法で攻撃をブロックします。 このレベルは、偽陰性の割合を最小化することが要求されるビジネスに適している。 このレベルは、中レベルよりも高い割合の偽陽性を引き起こし得る。

このレベルでは、スタックオーバーフローやバッファオーバーフローなど、リスクの高い脆弱性が検出されます。これらの脆弱性のほとんどは、レイヤー4プロトコルの脆弱性です。 システムは、プロトコル分析、キーワードマッチング、複数のリダイレクト、およびキーワードオフセットなどのさまざまな方法に基づいて攻撃を識別します。

SquidプロキシHTTPリクエスト処理 (CVE-2020-8450) でのバッファオーバーフロー、NGINX 0長ヘッダーでのDoS攻撃リーク (CVE-2019-9516) 、およびOracle WebLogic rda_tfa_ref_dateでのコマンド注入 (CVE-2018-2615) 。

Cloud Firewall IPSのベストプラクティス