Cloud Firewallの脆弱性防止機能 - - Alibaba Cloud ドキュメントセンター

脆弱性防止ページには、サイバー攻撃によって悪用される可能性のある脆弱性に関する情報が表示されます。脆弱性はSecurity Centerによって自動的に検出され、Cloud Firewallに同期されます。このページでは、Cloud Firewallのファイアウォールを有効にし、侵入防止システム (IPS) の保護ルールを設定して、脆弱性の悪用を防ぐことができます。このようにして、あなたの資産は保護されます。このトピックでは、Cloud Firewallで検出できる脆弱性の種類と、脆弱性の防止方法について説明します。

サポートされる脆弱性タイプ

Cloud Firewallは、Security Centerによって検出された脆弱性のタイプを同期し、脆弱性防止ページにタイプを表示します。保護されたアセットで脆弱性が検出されると、Cloud Firewallは攻撃トラフィックに基づいてエクスプロイトの動作を分析し、アセットを保護します。

Cloud Firewall Enterprise EditionまたはUltimate Editionを使用している場合は、[防御設定] > [仮想パッチ適用] セクションの [設定] をクリックして、Cloud Firewallでサポートされている脆弱性の種類を表示できます。詳細については、「予防設定機能の使用」をご参照ください。

説明

Cloud Firewallは、ネットワークスキャンベースの脆弱性のみを同期します。コンソールに表示されるサポートされる脆弱性タイプが優先されます。脆弱性が検出されたアセットが攻撃されていない場合、Cloud Firewallはアセットの脆弱性防止統計を表示しません。

制限事項

サブスクリプションまたは従量課金方法を使用するCloud Firewallは、脆弱性の防止をサポートしています。 Cloud Firewall Free Editionは脆弱性防止をサポートしていません。
[脆弱性防止] ページの脆弱性スキャンが自動的に開始されます。手動でスキャンを開始することはできません。
説明
脆弱性スキャンを手動で開始する場合は、Security Centerコンソールの脆弱性ページに移動します。詳細については、「脆弱性のスキャン」をご参照ください。
クラシックネットワークにデプロイされているServer Load Balancer (SLB) インスタンスでは、脅威インテリジェンスのブロックのみがサポートされています。
Cloud Firewallの攻撃防止機能は、SSLまたはTransport Layer Security (TLS) を使用して暗号化されたトラフィックを解析できません。したがって、このタイプのトラフィックは検出または保護できません。

前提条件

[防御設定] ページの [脅威エンジンモード] が [ブロックモード] に設定されています。

説明

脅威エンジンモードがブロックモードに設定されていない場合、[脆弱性防止] ページのすべての脆弱性の保護ステータスは [アラートのみ] です。この場合、Cloud Firewallは検出された脆弱性に関するアラートを生成して記録しますが、脆弱性を悪用する攻撃はブロックしません。脅威エンジンモードの詳細については、「脅威検出エンジンの動作モード」をご参照ください。

手順

Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、検出と応答 > 脆弱性防止を選択します。
脆弱性防止ページで、アセットに対してCloud Firewallによって実行された脆弱性スキャンの結果を表示します。
脆弱性防止ページには、過去1か月、1日、または7日間の脆弱性スキャンの結果が表示されます。
- 脆弱資産列のアイコンの上にポインターを移動します。次に、脆弱性が検出されたサーバーのIPアドレスを表示できます。
- 攻撃: アセットの脆弱性を悪用した攻撃の総数。
- 保護ステータス: Cloud Firewallが脆弱性を悪用する攻撃を処理するために使用する方法。次の状態がサポートされています。
  ブロック済み: 脆弱性を悪用する攻撃は、Cloud Firewallによってブロックされます。
  アラートのみ: Cloud Firewallが脆弱性を検出し、脆弱性に関するアラートを生成します。 Cloud Firewallは、脆弱性を悪用する攻撃をブロックしません。
  部分保護: 特定のECS (Elastic Compute Service) インスタンスは、Cloud Firewallによって保護されています。
- 詳細: [詳細] をクリックして、[脆弱性と保護の詳細] ページに移動します。このページでは、名前、CVE ID、リスクレベル、影響を受けるアセットなど、脆弱性の詳細を表示できます。
[脆弱性の防止] ページで、[アラートのみ] 状態にある脆弱性を検索します。次に、脆弱性の [操作] 列で [保護の有効化] をクリックします。
脆弱性が検出されたサーバーがCloud Firewallによって保護されていない場合、[保護の有効化] をクリックすると、サーバーのインターネットファイアウォールが有効になります。脆弱性が検出されたサーバーでCloud Firewallが有効になっている場合、[保護の有効化] をクリックすると、[IPS設定] ページの [脅威エンジンモード] のブロックモードが有効になります。脆弱性の保護ステータスを更新するには、1〜2分かかります。
説明
脆弱性防止機能を有効にすると、ファイアウォールが新たに有効になったアセットに対して既存のアクセス制御ポリシーが有効になります。これらのアセットの外部ポートのトラフィックが、[インターネットボーダー] ページの [インバウンド] タブで許可されていることを確認します。

次に何をすべきか

Cloud Firewallの予防設定機能を使用して、脅威検出エンジンの動作モードを設定できます。脅威インテリジェンス、基本的な保護、インテリジェントな防御、仮想パッチ機能を設定して、侵入の試みを効果的に識別してブロックすることもできます。詳細については、「防御設定」をご参照ください。
侵入防止システム (IPS) を使用して、攻撃、エクスプロイト、ブルートフォース攻撃、ワーム、マイニングプログラム、トロイの木馬、およびDoS攻撃によって生成される悪意のあるトラフィックをリアルタイムで事前に検出およびブロックできます。これにより、クラウド上のエンタープライズ情報システムとネットワークアーキテクチャが攻撃から保護されます。詳細については、「侵入防止の実装」および「侵入防止機能の使用」をご参照ください。
マイニングプログラムに対するベストプラクティス
ベストプラクティスのためのシステムセキュリティ防御
ベストプラクティスからワームを防御するC&Cサーバー
データベースセキュリティ防御のベストプラクティス