Cloud Firewallは、侵入や一般的な攻撃をリアルタイムで防御するための組み込みの脅威検出エンジンを提供します。 Cloud Firewallは、脅威に対する仮想パッチ機能も提供します。 Cloud Firewallの予防設定機能を使用して、脅威検出エンジンの動作モードを設定できます。 脅威インテリジェンス、基本的な保護、インテリジェントな防御、仮想パッチ機能を設定して、侵入の試みを効果的に識別してブロックすることもできます。 このトピックでは、脅威検出エンジンの動作モード、さまざまな種類の攻撃をブロックする方法、および動作モードを設定する方法について説明します。
前提条件
インターネットファイアウォールが有効になっています。 詳細については、「Internet Firewall」をご参照ください。
脅威検出エンジンの動作モードを設定する
クラウドファイアウォールを購入すると、ブロックモードが自動的に有効になります。 Cloud Firewallは、トラフィックの状態に基づいてレベルを自動的に決定します。 脅威インテリジェンス、基本保護、および仮想パッチ機能は、ブロックモードが有効になった後にのみ脅威をブロックします。 ブロックモードが無効の場合、これらの機能は脅威と悪意のあるトラフィックのみを監視します。
Cloud Firewallコンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。
では、脅威エンジンモードセクションで、脅威検出エンジンの動作モードを選択します。
脅威検出エンジンは、次のモードをサポートしています。
監視モード: このモードを選択すると、Cloud Firewallはトラフィックを監視し、悪意のあるトラフィックのアラートを生成します。
ブロックモード: このモードを選択すると、Cloud Firewallは悪意のあるトラフィックと侵入の試みをブロックします。
ビジネス要件に基づいて、このモードに次のレベルのいずれかを選択することもできます。
Loose: 誤検出率が高いのを防ぐルールを使用して、攻撃を緩やかにブロックします。 このレベルは、偽陽性の割合を最小限に抑えることを必要とするビジネスに適しています。
中: 共通のルールを使用して、標準的な方法で攻撃をブロックします。 このレベルは毎日のO&Mに適しており、厳密なレベルよりも偽陽性の割合が低くなります。
厳密: すべてのルールを使用して、攻撃を厳密にブロックします。 このレベルは、偽陽性の割合を最小限に抑えることを必要とするビジネスに適しています。 このレベルは、中レベルよりも高い割合の偽陽性を引き起こし得る。
ホワイトリストの設定
[詳細設定] セクションで、[ホワイトリスト] をクリックして、信頼できる送信元IPv4およびIPv6アドレスまたは信頼できる送信先IPv4およびIPv6アドレスをインバウンドまたはアウトバウンドホワイトリストに追加します。 IPアドレスをホワイトリストに追加すると、基本的な保護、インテリジェントな防御、および仮想パッチ機能により、IPアドレスのトラフィックが許可されます。 最大50個のIPアドレスをカスタム宛先IPアドレスホワイトリストまたはカスタム送信元IPアドレスホワイトリストに追加できます。
設定したホワイトリストは、基本的な保護、インテリジェントな防御、および仮想パッチ機能に対してのみ有効です。 脅威インテリジェンス機能でIPアドレスのトラフィックを許可する場合は、アクセス制御ポリシーを設定する必要があります。 詳細については、「インターネットファイアウォールのインバウンドおよびアウトバウンドアクセス制御ポリシーの作成」および「Cloud firewallがトラフィックを保護するために使用するルールの優先順位」をご参照ください。
脅威インテリジェンス機能の設定
デフォルトでは、[詳細設定] セクションで [脅威インテリジェンス] がオンになっており、Cloud Firewallは脅威インテリジェンスをスキャンし、脅威インテリジェンスに基づいて中央制御システムから開始される悪意のある動作をブロックします。 脅威インテリジェンス機能は、Alibaba Cloud全体で検出された悪意のあるIPアドレスをCloud Firewallに同期し、正確な侵入防止を実行します。 悪意のあるIPアドレスは、悪意のあるアクセス、スキャン、またはブルートフォース攻撃を開始するために使用されます。 脅威インテリジェンス機能を有効にすることを推奨します。
基本的な保護機能の設定
デフォルトでは、[詳細設定] セクションで [基本ルール] がオンになり、Cloud Firewallが一般的な脅威を検出します。 基本的な保護機能は、ブルートフォース攻撃やコマンド実行の脆弱性を悪用する攻撃などの一般的な侵入からアセットを保護します。 この機能は、侵害されたホストからコマンドアンドコントロール (C&C) サーバーへの接続も管理し、アセットの基本的な保護を提供します。 基本保護機能を有効にすることを推奨します。
基本保護ポリシーの表示または変更
デフォルト設定がビジネス要件を満たしていない場合は、[基本保護] セクションの右側にある [設定] をクリックして、1つ以上の基本保護ポリシーを設定できます。 基本的な保護ポリシーのアクションのみを変更できます。 アクションには、Monitor、Block、Disableが含まれます。
基本的な保護ポリシーを設定できるのは、Cloud Firewall Enterprise EditionとUltimate Editionのみです。
インテリジェント防御機能の設定
デフォルトでは、[詳細設定] セクションでIntelligent Defenseがオンになっており、Cloud Firewallはクラウド内の攻撃に関する大量のデータから学習して、脅威の検出と攻撃の検出の精度を向上させます。 インテリジェント防御機能を有効にすることを推奨します。
インテリジェント防御機能は、モニタリングモードを選択した場合にのみ使用できます。
仮想パッチ機能の設定
デフォルトでは、[詳細設定] セクションで [仮想パッチ適用] がオンになっており、Cloud Firewallは、一般的な重大度の高い脆弱性や緊急の脆弱性からアセットをリアルタイムで保護します。 仮想パッチ機能は、ネットワーク層でホットパッチを提供し、重要度の高い脆弱性やリモートで悪用される可能性のある緊急の脆弱性からビジネスを保護します。 これにより、脆弱性エクスプロイトをリアルタイムで傍受し、脆弱性が修正されたときのビジネスの中断を防ぎます。 サーバーに仮想パッチをインストールする必要はありません。 この機能が無効になっている場合、Cloud Firewallはアセットのパッチを自動的に更新できません。 仮想パッチ機能を有効にすることを推奨します。
仮想パッチポリシーの表示または変更
基本的な仮想パッチ適用ポリシーを設定するには、[仮想パッチ適用] セクションの右側にある [設定] をクリックします。 [仮想パッチ適用ポリシーのカスタマイズ] ダイアログボックスで、特定のポリシーが [フォーカス] でマークされます。 これは頻繁な攻撃を示します。 これらの攻撃に注意し、できるだけ早い機会に攻撃を処理します。
Cloud Firewall Enterprise EditionとUltimate Editionのみが仮想パッチポリシーをサポートしています。
次のステップ
[基本保護] をオンにすると、[侵入防止] ページでCloud Firewallによってブロックされた悪意のあるトラフィックを表示できます。 トラフィックには、インバウンドとアウトバウンドトラフィック、およびVPC間のトラフィックが含まれます。 詳細については、「侵入防止の実装」および「侵入防止」をご参照ください。
[脆弱性の防止] ページでは、サイバー攻撃によって悪用される可能性のある脆弱性に関する情報を表示できます。 脆弱性はSecurity Centerによって自動的に検出され、Cloud Firewallに同期されます。 このページでは、Cloud Firewallのファイアウォールを有効にし、侵入防止システム (IPS) の保護ルールを設定して、脆弱性の悪用を防ぐことができます。 詳細については、「脆弱性防止」をご参照ください。
[違反認識] ページで、IPSによって検出された侵入イベントと侵入イベントの詳細を表示できます。 詳細については、「違反の認識」をご参照ください。
データベースセキュリティ防御のベストプラクティス