すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:IPS構成

最終更新日:Dec 16, 2024

Cloud Firewallは、侵入や一般的な攻撃をリアルタイムで防御するための組み込みの脅威検出エンジンを提供します。 Cloud Firewallは、脅威から防御するための仮想パッチ機能も提供します。 Cloud Firewallの予防設定機能を使用して、脅威検出エンジンのモードを設定できます。 脅威インテリジェンス、基本的な保護、インテリジェントな防御、仮想パッチ機能を設定して、侵入の試みを効果的に識別してブロックすることもできます。 このトピックでは、脅威検出エンジンのモード、さまざまな種類の攻撃をブロックする方法、およびモードを設定する方法について説明します。

インターネット境界でのIPSベースの機能の設定

脅威検出エンジンのモード

クラウドファイアウォールを購入すると、脅威検出エンジンのブロックモードが自動的に有効になります。 Cloud Firewallは、トラフィック状況に基づいて適切なレベルを自動的に決定します。 脅威インテリジェンス、基本保護、および仮想パッチ機能は、ブロックモードが有効になった後にのみ脅威をブロックします。 ブロックモードが無効の場合、これらの機能は脅威と悪意のあるトラフィックのみを監視します。

脅威検出エンジンのモードの詳細については、「IPSの概要」をご参照ください。

  1. にログインします。Cloud Firewallコンソール. 左側のナビゲーションウィンドウで、[防御設定] > [IPS設定] を選択します。

  2. では、脅威エンジンモードのセクションインターネット国境タブで、脅威検出エンジンのモードを選択します。

    image

    脅威検出エンジンは、次のモードをサポートしています。

    • モニター: このモードを選択すると、Cloud Firewallは攻撃を記録し、攻撃のアラートを生成しますが、攻撃は傍受しません。 このモードでは、脅威インテリジェンスポリシー、基本保護ポリシー、および仮想パッチポリシーのアクションが [監視] に設定されます。

    • ブロック: このモードを選択すると、Cloud Firewallは悪意のあるトラフィックと侵入の試みをブロックします。

      ビジネス要件に基づいて、このモードに次のレベルのいずれかを選択することもできます。

      • Loose: 誤検出率が高いのを防ぐルールを使用して、攻撃を緩やかにブロックします。 このレベルは、偽陽性の割合を最小限に抑えることを必要とするビジネスに適しています。

      • : 共通のルールを使用して、標準的な方法で攻撃をブロックします。 このレベルは毎日のO&Mに適しており、厳密なレベルよりも偽陽性の割合が低くなります。

      • 厳密: すべてのルールを使用して、攻撃を厳密にブロックします。 このレベルは、偽陰性の割合を最小化することが要求されるビジネスに適している。 このレベルは、中レベルよりも高い割合の偽陽性を引き起こし得る。

脅威インテリジェンス

デフォルトでは、脅威インテリジェンスがオンになっており、Cloud Firewallは脅威インテリジェンスをスキャンし、脅威インテリジェンスに基づいて中央制御システムから開始される悪意のある動作をブロックします。 脅威インテリジェンス機能は、Alibaba Cloud全体で検出された悪意のあるIPアドレスをCloud Firewallに同期し、正確な侵入防止を実行します。 悪意のあるIPアドレスは、悪意のあるアクセス、スキャン、またはブルートフォース攻撃を開始するために使用されます。

脅威インテリジェンス機能を有効にすることを推奨します。 脅威インテリジェンス機能が不要になった場合は、[詳細設定] セクションで脅威インテリジェンスをオフにできます。

image

基本的な保護

デフォルトでは、基本ルールがオンになり、Cloud Firewallが一般的な脅威を検出します。 基本的な保護機能は、コマンド実行の脆弱性を悪用する攻撃などの一般的な侵入からアセットを保護します。 この機能は、侵害されたホストからコマンドアンドコントロール (C&C) サーバーへの接続も管理し、アセットの基本的な保護を提供します。

基本保護機能を有効にすることを推奨します。 基本的な保護機能が不要になった場合は、[詳細設定] セクションで基本ルールをオフにできます。

image

基本保護ポリシーの詳細を表示する場合、またはポリシーのデフォルト設定がビジネス要件を満たしていない場合は、[基本保護] セクションの右側にある [設定] をクリックして、1つ以上の基本保護ポリシーの [現在のアクション] パラメーターを変更できます。 ポリシーの現在のアクションパラメーターを変更すると、ポリシーはカスタムとしてマークされます。 ポリシーを無効にすることもできます。 ポリシーを無効にすると、ポリシーは有効になりません。 有効でカスタムとしてマークされているポリシーは、既定のアクションを使用するポリシーよりも優先度が高くなります。

image

仮想パッチ

デフォルトでは、仮想パッチ適用がオンになっており、Cloud Firewallは、一般的なリスクの高い脆弱性や緊急の脆弱性からアセットをリアルタイムで保護します。 仮想パッチ機能は、ネットワーク層でホットパッチを提供し、リスクの高い脆弱性やリモートで悪用される可能性のある緊急の脆弱性からビジネスを保護します。 これにより、脆弱性エクスプロイトをリアルタイムで傍受し、脆弱性が修正されたときのビジネスの中断を防ぎます。 サーバーに仮想パッチをインストールする必要はありません。 この機能が無効になっている場合、Cloud Firewallはアセットのパッチを自動的に更新できません。

仮想パッチ機能を有効にすることを推奨します。 仮想パッチ機能が不要になった場合は、[詳細設定] セクションで仮想パッチをオフにできます。

image

仮想パッチ適用ポリシーの詳細を表示する場合、またはポリシーのデフォルト設定がビジネス要件を満たしていない場合は、[仮想パッチ適用] セクションの右側にある [設定] をクリックして、1つ以上の仮想パッチ適用ポリシーの [現在のアクション] パラメーターを変更できます。 ポリシーの現在のアクションパラメーターを変更すると、ポリシーはカスタムとしてマークされます。 ポリシーを無効にすることもできます。 ポリシーを無効にすると、ポリシーは有効になりません。 有効でカスタムとしてマークされているポリシーは、既定のアクションを使用するポリシーよりも優先度が高くなります。

image

インテリジェント防衛

デフォルトでは、Intelligent Defenseがオンになっており、Cloud Firewallはクラウド内の攻撃に関する大量のデータから学習して、脅威の検出と攻撃の検出の精度を向上させます。

インテリジェント防御機能は、脅威検出エンジンがモニターモードに設定されている場合にのみ使用できます。 インテリジェント防御機能を有効にすることを推奨します。 インテリジェント防御機能が不要になった場合は、[詳細設定] セクションでインテリジェント防御をオフにできます。

image

データ漏れ検出

Cloud Firewallがクラウドアセットのアウトバウンド接続で機密データを検出し、関連するリスクを特定できるようにするには、アセットのデータリーク検出機能を有効にする必要があります。 アウトバウンド接続とは、アセットからインターネットへの接続を指します。 アセットのデータリーク検出機能を有効にするには、[アセットの設定] をクリックします。 [アセット設定] パネルで、管理するパブリックIPアドレスを見つけ、[操作] 列の [データリーク検出の有効化] をクリックします。

[サポートされている機密データ型の表示] をクリックして、Cloud Firewallで識別できる機密データの種類を表示することもできます。 ビジネス要件に基づいて、データ型のデータリーク検出機能を有効または無効にできます。

image

[データリーク検出] ページで、データリークダッシュボードを表示できます。 これにより、データリーク、データリークイベント、およびリスクペイロードに関連するアセットを正確に取得できます。

ホワイトリスト

信頼済みソースIPv4およびIPv6アドレスをインバウンドホワイトリストに追加したり、信頼済み宛先IPv4およびIPv6アドレスをアウトバウンドホワイトリストに追加したりできます。 IPアドレスをホワイトリストに追加すると、基本的な保護、インテリジェントな防御、および仮想パッチ機能により、IPアドレスのトラフィックが許可されます。 宛先IPアドレスホワイトリストまたは送信元IPアドレスホワイトリストに最大50個のIPアドレスを追加できます。

IPアドレスをホワイトリストに追加するには、[詳細設定] セクションの [ホワイトリスト] をクリックします。

image

設定したホワイトリストは、基本的な保護、インテリジェントな防御、および仮想パッチ機能に対してのみ有効です。 脅威インテリジェンス機能でIPアドレスのトラフィックを許可する場合は、アクセス制御ポリシーを設定する必要があります。 詳細については、「インターネットファイアウォールのインバウンドおよびアウトバウンドアクセス制御ポリシーの作成」および「Cloud firewallがトラフィックを保護するために使用するルールの優先順位」をご参照ください。

VPC境界でのIPSベースの機能

VPCファイアウォールの侵入防止システム (IPS) 機能を設定する前に、仮想プライベートクラウド (VPC) ファイアウォールを有効にする必要があります。 詳細は、「VPCファイアウォール」をご参照ください。

IPSモード

次のIPSモードがサポートされています。

  • モニター: このモードを選択すると、Cloud Firewallは攻撃を記録し、攻撃のアラートを生成しますが、攻撃は傍受しません。 このモードでは、脅威インテリジェンスポリシー、基本保護ポリシー、および仮想パッチポリシーのアクションが [監視] に設定されます。

  • ブロック: このモードを選択すると、Cloud Firewallは悪意のあるトラフィックと侵入の試みをブロックします。

    ビジネス要件に基づいて、このモードに次のレベルのいずれかを選択することもできます。

    • Loose: 誤検出率が高いのを防ぐルールを使用して、攻撃を緩やかにブロックします。 このレベルは、偽陽性の割合を最小限に抑えることを必要とするビジネスに適しています。

    • : 共通のルールを使用して、標準的な方法で攻撃をブロックします。 このレベルは毎日のO&Mに適しており、厳密なレベルよりも偽陽性の割合が低くなります。

    • 厳密: すべてのルールを使用して、攻撃を厳密にブロックします。 このレベルは、偽陰性の割合を最小化することが要求されるビジネスに適している。 このレベルは、中レベルよりも高い割合の偽陽性を引き起こし得る。

基本的な保護

基本的な保護機能は、コマンド実行の脆弱性を悪用する攻撃などの一般的な侵入からアセットを保護します。 この機能は、侵害されたホストからコマンドアンドコントロール (C&C) サーバーへの接続も管理し、アセットの基本的な保護を提供します。

基本保護機能を有効にすることを推奨します。 Cloud Enterprise Network (CEN) インスタンスまたはExpress Connect回路用に作成されたファイアウォールの基本的な保護機能が不要になった場合は、[IPS設定] ページの [VPC Border] タブに移動し、インスタンスまたはファイアウォールを見つけて、[IPS機能の設定] をクリックして機能を無効にします。

基本保護ポリシーの詳細を表示する場合、またはポリシーのデフォルト設定がビジネス要件を満たしていない場合は、[IPS設定] ページで [基本保護ポリシーの表示] をクリックして、1つ以上の基本保護ポリシーの現在のアクションパラメーターを変更できます。 ポリシーの現在のアクションパラメーターを変更すると、ポリシーはカスタムとしてマークされます。 ポリシーを無効にすることもできます。 ポリシーを無効にすると、ポリシーは有効になりません。 有効でカスタムとしてマークされているポリシーは、既定のアクションを使用するポリシーよりも優先度が高くなります。 変更された設定は、すべてのVPCファイアウォールで有効になります。

image

仮想パッチ

仮想パッチ機能を有効にすると、Cloud Firewallは、一般的なリスクの高い脆弱性や緊急の脆弱性からアセットをリアルタイムで保護します。 仮想パッチ機能は、ネットワーク層でホットパッチを提供し、リスクの高い脆弱性やリモートで悪用される可能性のある緊急の脆弱性からビジネスを保護します。 これにより、脆弱性エクスプロイトをリアルタイムで傍受し、脆弱性が修正されたときのビジネスの中断を防ぎます。 サーバーに仮想パッチをインストールする必要はありません。 この機能が無効になっている場合、Cloud Firewallはアセットのパッチを自動的に更新できません。

仮想パッチ機能を有効にすることを推奨します。 Express Connect回路用に作成されたCENインスタンスまたはファイアウォールの仮想パッチ機能が不要になった場合は、[IPS設定] ページの [VPC Border] タブに移動し、インスタンスまたはファイアウォールを見つけて、[IPS機能の設定] をクリックして機能を無効にします。

仮想パッチ適用ポリシーの詳細を表示する場合、またはポリシーのデフォルト設定がビジネス要件を満たしていない場合は、[IPS設定] ページで [仮想パッチ適用ポリシーの表示] をクリックして、1つ以上の仮想パッチ適用ポリシーの現在のアクションパラメーターを変更できます。 ポリシーの現在のアクションパラメーターを変更すると、ポリシーはカスタムとしてマークされます。 ポリシーを無効にすることもできます。 ポリシーを無効にすると、ポリシーは有効になりません。 有効でカスタムとしてマークされているポリシーは、既定のアクションを使用するポリシーよりも優先度が高くなります。 変更された設定は、すべてのVPCファイアウォールで有効になります。

image

IPSホワイトリスト

信頼できる送信元IPアドレスをインバウンドホワイトリストに追加したり、信頼できる送信先IPアドレスをアウトバウンドホワイトリストに追加したりできます。 IPアドレスをホワイトリストに追加すると、基本的な保護、インテリジェントな防御、および仮想パッチ機能により、IPアドレスのトラフィックが許可されます。 宛先IPアドレスホワイトリストまたは送信元IPアドレスホワイトリストに最大50個のIPアドレスを追加できます。

IPアドレスをホワイトリストに追加するには、[IP設定] ページの [VPC Border] タブに移動し、Express Connect回路用に作成された必要なCENインスタンスまたはファイアウォールを見つけて、[操作] 列の [IPSホワイトリストの設定] をクリックします。

image

次のステップ