THE COMPLETE CLOUD OPERATIONS SECURITY BLUEPRINT(Part-2)
完全なクラウド運用セキュリティブループリント(第二章)
完全なクラウド運用セキュリティブループリントについての記事です。5回に分けて投稿しています。第二回目の今回は、ボットやperimeterモニタリングについてです。
Bot Protection
Botの不正使用は深刻化していて、ここで言及するに値する問題です。悪質なBotは、コンテンツのスクレイピング、アカウントの乗っ取り、不正なクリックやチェックアウト、クレジットカード情報の盗用によく使用されます。 実際、主要なBot Protection vendors (Bot保護ベンダー)の1つであるIncapsulaは、悪意のあるボットがすべてのインターネットトラフィックの最大29%を占めると推定しています。 Incapsula、Perimeter X Cloudflare などのボット保護ツールは、IPレピュテーション、behavior fingerprinting、既知の不正な署名に基づいてルールを適用し、不正なボットトラフィックをブロックします。
Sophos UTMなどの一部のエンタープライズツールは、これらのほとんどを一緒にまとめてグループ化して、ファイアウォール保護、IPS、高度な脅威検出などのオールインワンタイプのソリューションを単一のプラットフォームで提供しています。 より価格が高くなる可能性がありますが、これらはperimeterセキュリティ標準を確立し、必要なツールを実装し、簡単ですぐに使用できるソリューションを必要とする内部帯域幅を持たない企業にとっては良い選択肢です。 欠点は、環境のフレキシビリティ(柔軟性)とカスタマイズが不足している点です。
Perimeter Monitoring
「perimeter」防御の実装は、最初のステップにすぎません。 ゼロトラストセキュリティモデル(信頼せずに、必ず確認するというスタンスのモデル)では、これらのシステムに単純に依存することはできませんが、アクティビティを監視する必要があります。 ここでは、WAFをデータソースと考えてください。 ファイアウォールは、Webサーバー、データベース、CDN、およびネットワークログに加えて、悪意のあるアクティビティを検出、防止、トラブルシューティングするための重要な情報源を提供できます。 ログ分析が役立つ一般的な領域を次に示します。
- トラフィックフロー:サーバーログで予期しないアクティビティまたは異常なトラフィックパターンを探します。 これらは、進行中の攻撃または適切にコンフィギュアされないシステムの兆候である可能性があります。
- ルール違反:拒否されたトラフィックを分析すると、悪意のあるアクティビティや、単に誤ってコンフィギュアされたシステムを発見できます。 いずれにせよ、目を離さないで注意して目を光らせておくことが大切です。
- CDNトラフィックパターン:通常のトラフィックパターンを特定すると、大量の偽トラフィックが問題を引き起こすことを防ぐためにスクラブフィルタをコンフィギュアすることにより、DDoS攻撃を特定および防止するのに役立ちます。
- トリガーの頻度をルール化する:ファイアウォールルールが古くなって不要になる場合があります。 使われていないルールがあると不必要に複雑になるため、クリーンアップまたは更新する必要があります
ELKを伴ったトラフィックのモニタリングでDDoS攻撃から守る
Separation and VPC Flow Logs
クラウドで開発やデプロイをする場合、従うべき一般的なルールは、ベストプラクティスとしての分離(セパレーション)です。 物理的または論理的のどちらかよって、本番環境を開発およびテスト環境から分離する必要があります。分離とは、本番環境への開発者のアクセスをアクティビティのトラブルシューティングのみに制限し、そのアクセスとアクティビティを監視することも含まれます。
おそらく最も一般的な方法は、環境ごとに個別の仮想プライベートクラウド(Amazon VPC、Azure Virtual Network、Google Cloud VPC)を構築することです。 本番環境を分離することで、誰かが意図的に、もしくは単なるミスで不正な変更を行ったことによる、システムの整合性や可用性を損なうというリスクを減らすことができます。 また、さまざまなセキュリティ標準を適用することもできます。これは、本番環境でははるかに高いものになるはずです。
VPC環境内にデプロイする場合、ネットワークインターフェース、サブネット、VPCとの間で送受信されるIPトラフィックを監視することが重要です。 VPCフローログの監視は、データベースなどのインフラストラクチャーリソースに出入りするトラフィックを監視する最適な方法です。 マイクロサービスアーキテクチャー上に構築されたアプリケーションの場合、サービス間の高度な内部通信により、この監視は非常に重要なアクティビティになります。 AWSは、フローログを発行できるCloudWatchサービスでより簡単にそれが実行可能になります。さらに、フローログの追跡することで、アプリケーション内の遅延やその他のパフォーマンスの問題を特定できるという、さらなる利点もあります。
より詳しくはこちらをご一読ください。
Orangesys.ioでは、kuberneteの運用、DevOps、監視のお手伝いをさせていただいています。ぜひ私たちにおまかせください。
