クラウドハニーポット機能は、クラウド内およびクラウド外の攻撃検出や攻撃ソーストレースなどの機能を提供します。 Security Centerによって保護されている仮想プライベートクラウド (VPC) およびサーバーにハニーポットを作成できます。 これにより、クラウド内外で発生する攻撃からサーバーを保護し、サーバーのセキュリティを強化します。
背景情報
従来の防御方法は、攻撃から防御するために使用されます。 しかし、従来の方法は、攻撃が多様化、隠蔽、および複雑さという特徴を有する場合に限界がある。 たとえば、攻撃ルールと攻撃特性のライブラリに基づく従来のセキュリティサービスでは、ゼロデイ脆弱性を悪用して開始されたAPT攻撃をほとんど検出できません。 サーバーが攻撃された場合、セキュリティO&Mエンジニアは攻撃によって引き起こされた問題のみを処理できますが、攻撃者が内部ネットワークに侵入して攻撃を開始するのを防ぐことはできません。 企業は攻撃から積極的に防御し、攻撃者からサービスを防御し、データを保護するための対策を講じる必要があります。
ハニーポットは、攻撃者を引き付けるために使用されるシステムです。 ハニーポットは、攻撃に対して脆弱な1つ以上のホストおよびサービスをシミュレートし、それらをビジネスアプリケーションとして偽装します。 これにより、攻撃者は偽装されたホストとサービスを攻撃します。 ハニーポットはユーザーにサービスを提供しません。 したがって、ハニーポットでのすべての接続試行は疑わしいと見なされます。 攻撃者はハニーポットを攻撃するように誘惑され、実際のターゲットへの攻撃を遅らせます。 これにより、攻撃者に関する情報を取得できます。 この情報を使用して、攻撃に対する防御を改善できます。 これにより、ビジネスシステムを保護できます。
クラウドハニーポットの仕組み
従来の防御方法と比較して、ハニーポットは攻撃から積極的に防御できます。 ただし、従来のハニーポットは欺瞞的ではなく、すべてのシナリオに使用できません。 従来のハニーポットは、限られた数のハニーポットタイプを提供し、コストが高い。 従来の防御方法と従来のハニーポットの問題を解決するために、Security Centerのクラウドハニーポット機能が開始されました。
クラウドハニーポットは、次の機能を提供します。
クラウドネイティブVPCプローブ
クラウドハニーポット機能は、VPCで到達できないIPアドレス宛てのトラフィックをVPCプローブにリダイレクトします。 次に、VPCは、VPCプローブ用に設定されたトラフィック転送ルールに基づいて、トラフィックをハニーポットに転送します。
一般的なホストプローブ
クラウドハニーポット機能を使用すると、ワークロードがデプロイされているホストにホストプローブをインストールできます。 ホストプローブは、トラフィックを転送するために使用される。 ホストにホストプローブをインストールした後も、ホストのリソース消費量は大幅に増加せず、アプリケーションに影響を与えません。 ホストプローブは安全で安定しており、一般的なハードウェアやオペレーティングシステムにインストールできます。
さまざまなタイプのハニーポット
クラウドハニーポット機能は、高インタラクションと低インタラクションのハニーポットをサポートします。 低相互作用のハニーポットはすべてのポートをサポートします。 高相互作用ハニーポットは、攻撃に対して脆弱なさまざまなタイプの組み込みハニーポットを提供します。 組み込みハニーポットには、webハニーポット、データベースハニーポット、システムサービスハニーポット、特殊欠陥ハニーポット、およびカスタムハニーポットが含まれます。
カスタムハニーポット
クラウドハニーポット機能を使用すると、コンテナに基づいてカスタムハニーポットを作成し、高度なビジネスシミュレーションを実装できます。
VPCプローブとホストプローブの両方を使用できます。 これにより、IPアドレスとコンピューティングリソースの低コストで多数のIPアドレスを保護できます。 さまざまなタイプのビルトインハニーポットとカスタムハニーポットをハニーポットクラスタとしてデプロイできます。 ハニーポットクラスターは非常に欺瞞的です。
影響
セキュリティサービスは、安定性の問題とセキュリティリスクを引き起こす可能性があります。 これらの問題を防ぐために、クラウドハニーポット機能は、ハニーポット関連の機能を提供し、高い安定性と高いセキュリティを確保し、少数のホストリソースを消費するように設計されています。
パフォーマンスへの影響
VPCプローブの影響
VPCプローブは、ホストリソースまたはネットワークリソースを消費しません。
ホストプローブの影響
ホストプローブは、ポート上の異常なトラフィックのみを転送し、少数のシステムリソースを消費します。
安定性への影響
VPCプローブの影響
VPCプローブは、スキャントラフィックとの対話をシミュレートできます。 スキャンを開始するアセット検出ソフトウェアを使用すると、誤検出が報告される可能性があります。
ホストプローブの影響
ホストプローブは、ホスト上のポートを占有する。 ホストプローブにホストポートを適切に割り当てる必要があります。
セキュリティへの影響
ホストプローブのセキュリティ保証
ホストプローブは、それらの管理ノードによって制御される。 管理ノードは、ホストプローブのトラフィック転送ルールのみを制御できます。 管理ノードが侵害された場合でも、攻撃者は管理ノードを使用して、管理ノードによるホストプローブコントローラーを使用してホストを制御することはできません。
ハニーポット脱出防止のセキュリティ保証
各ユーザーは、Dockerエスケープ検出がデフォルトで提供される一意のハニーポットクラスターを作成できます。
ネットワークのセキュリティ保証
ネットワーク分離が実装されています。 ハニーポットクラスタが危険にさらされても、ハニーポットとプローブとの間の通信経路を介してユーザのネットワークを攻撃することはできない。
ネットワーク環境
クラウドハニーポット機能は、Alibaba cloud、サードパーティクラウド、データセンターなどのネットワーク環境でサポートされています。
Alibaba Cloudでは、Security Centerチームとネットワークチームによって開発されたVPCプローブは、VPCで到達できないIPアドレス宛てのトラフィックをハニーポットにリダイレクトできます。 これは低コストを達成し、高カバレッジハニーポット機能を提供します。
Alibaba Cloud以外の環境では、クラウドハニーポット機能を使用すると、少数のホストリソースを消費し、トラフィックのリダイレクトに対して安全なホストプローブを使用できます。 ホストプローブは、異常なトラフィックをバックエンドハニーポットクラスタにリダイレクトできます。
制限
ホストプローブ
ホストプローブは、Security CenterコンソールのAssetsモジュールに表示され、Security Centerによって保護されているサーバーにのみインストールできます。
VPCプローブ
VPCプローブは、次のリージョンのVPCにインストールできます。
中国 (青島)
中国 (北京)
中国 (張家口)
中国 (フフホト)
中国 (ウランチャブ)
中国 (杭州)
中国 (上海)
中国 (深セン)
中国 (河源)
中国 (広州)
中国 (成都)
中国 (香港)
日本 (東京)
シンガポール
オーストラリア (シドニー)(サービス終了)
インドネシア (ジャカルタ)
米国 (バージニア)
米国 (シリコンバレー)
イギリス (ロンドン)
UAE (ドバイ)
ドイツ (フランクフルト)