Kemampuan pencegahan intrusi yang disediakan oleh Cloud Firewall - Cloud Firewall

Sistem Pencegahan Intrusi (IPS) default dari Cloud Firewall secara proaktif mendeteksi dan memblokir lalu lintas jaringan berbahaya yang dihasilkan oleh serangan, eksploitasi kerentanan, serangan brute-force, cacing, program penambangan, trojan, dan Serangan DoS secara real-time. Sistem ini melindungi sistem informasi perusahaan dan arsitektur jaringan di cloud terhadap serangan, mencegah akses tidak sah atau kebocoran data, serta menghindari kerusakan atau kegagalan sistem bisnis dan aplikasi Anda.

Mengapa IPS?

Serangan siber umum di cloud

Perusahaan menyebarkan sistem bisnis penting mereka di cloud untuk menyediakan layanan yang menghadap Internet dan akses internal. Sistem bisnis ini mencakup yang diterapkan untuk lingkungan pengembangan, lingkungan produksi, dan data mid-end. Dalam skenario ini, perusahaan mungkin menghadapi intrusi dan akses tidak sah. Hal ini menimbulkan ancaman seperti kebocoran data, kelelahan sumber daya server, dan gangguan layanan. Secara keseluruhan, jaringan adalah saluran utama penyebaran serangan. Daftar berikut menjelaskan metode serangan umum:

Serangan malware: Malware mencakup virus, cacing, dan trojan. Jika Anda secara tidak sengaja mengunduh malware ke server cloud Anda, server tersebut mungkin akan diserang.
Pemindaian port dan serangan brute-force: Penyerang menyebarkan sistem pemindai untuk memindai port terbuka yang digunakan oleh server tertentu di seluruh dunia dan mencoba menebak nama pengguna dan kata sandi dengan menggunakan serangan brute-force untuk menerapkan akses tidak sah. Penyerang juga dapat menyisipkan trojan ke mesin korban dan menginstal program penambangan atau ransomware pada mesin tersebut.
Serangan kerentanan web: Injeksi SQL, serangan skrip lintas situs (XSS), serangan Pemalsuan Permintaan Lintas Situs (CSRF), dan kerentanan eksekusi kode jarak jauh (RCE) termasuk di dalamnya. Penyerang memanfaatkan kerentanan dalam aplikasi atau situs web untuk menerapkan akses tidak sah ke sistem tertentu, memanipulasi data, atau mencuri informasi.
Serangan kerentanan Layer-4: Serangan yang dilakukan dengan memanfaatkan kerentanan protokol Layer-4 termasuk di dalamnya.
Serangan database: Serangan terhadap database seperti Redis dan MySQL termasuk di dalamnya.
Eksekusi perintah dan reverse shell: Penyerang menggunakan perintah berbahaya dan reverse shell untuk menerapkan akses tidak sah.

Untuk mencegah serangan-serangan sebelumnya, perusahaan harus mengadopsi langkah-langkah keamanan dan kebijakan perlindungan, seperti menerapkan Cloud Firewall, memperkuat konfigurasi keamanan jaringan, dan memperbaiki kerentanan sesegera mungkin. Ini memastikan keamanan dan stabilitas sistem bisnis.

IPS dari Cloud Firewall

IPS dari Cloud Firewall memblokir lalu lintas berbahaya, menyediakan pembenahan virtual, menolak lalu lintas keluar berbahaya, menggunakan intelijen ancaman bersama, dan membangun model cerdas berdasarkan pembelajaran mesin untuk memberikan perlindungan komprehensif dan efisien bagi layanan cloud perusahaan.

IPS dari Cloud Firewall menyediakan lebih dari 5.000 item perlindungan dasar dan pembenahan virtual, yang dapat digunakan untuk secara efisien memblokir eksploitasi kerentanan dan mempersingkat jendela paparan serangan.
Jika ada kerentanan dalam sistem bisnis cloud perusahaan, patch perlu diinstal untuk memperbaiki kerentanan tersebut. Dalam banyak kasus, perbaikan kerentanan membutuhkan waktu yang lama, dan instalasi patch tertentu mungkin memerlukan restart layanan. Namun, jika Cloud Firewall digunakan, pemblokiran kerentanan tinggi dan kerentanan nol hari hanya membutuhkan waktu 3 jam, yang memberikan waktu untuk memperbaiki kerentanan. Cloud Firewall secara efisien melindungi layanan Anda dari eksploitasi tanpa perlu menginstal patch secara manual atau me-restart server Anda.
IPS dari Cloud Firewall juga mendeteksi dan melindungi terhadap lalu lintas keluar berbahaya sedini mungkin. Sebagai contoh, IPS mendeteksi lalu lintas keluar berbahaya dari sistem bisnis yang terganggu ke server komando dan kontrol dan mendeteksi koneksi keluar yang tidak biasa. IPS menghasilkan peringatan dan menolak lalu lintas berbahaya ketika lalu lintas berbahaya terdeteksi. Ini mengurangi risiko kebocoran data dan penyebaran serangan.
IPS dari Cloud Firewall dapat menggunakan jumlah besar intelijen ancaman Alibaba Cloud untuk secara tepat mendeteksi alamat IP berbahaya, nama domain, alamat IP server komando dan kontrol (C&C), pemindai, dan cracker secara real-time.
Cloud Firewall menggunakan sejumlah besar data serangan dan metode serangan yang terakumulasi oleh Alibaba Cloud untuk membangun model cerdas yang membantu Anda secara efektif bertahan terhadap ancaman yang tidak diketahui.

Implementasi IPS Cloud Firewall

Cloud Firewall diterapkan dalam mode seri di jaringan cloud. Ini melindungi lalu lintas dari dan ke Internet, lalu lintas yang melewati gateway NAT, lalu lintas antara Virtual Private Clouds (VPC) di jaringan internal, dan lalu lintas antara cloud dan pusat data lokal. Gambar berikut menunjukkan arsitektur jaringan.

Cloud Firewall memantau semua lalu lintas jaringan yang melewati Cloud Firewall, menyaring lalu lintas menggunakan mesin IPS dan ACL dari Cloud Firewall, dan kemudian meneruskan lalu lintas normal.

Cloud Firewall menggunakan Mesin Pemeriksaan Paket Mendalam (DPI) untuk mendeteksi dan mengidentifikasi lalu lintas jaringan. Ini dapat mengidentifikasi protokol lalu lintas jaringan dan mengurai paket. Cloud Firewall juga menyaring lalu lintas dan paket untuk mengidentifikasi serangan IPS dan intelijen ancaman. Jika aturan dari mesin deteksi ancaman dalam mode berbeda, seperti Monitor Mode, Block Mode - Loose, Block Mode - Medium, atau Block Mode - Strict dan aturan IPS terkena, paket serangan dibuang atau diizinkan. Dengan cara ini, peringatan dihasilkan dan serangan diblokir secara real-time.

Jenis serangan yang didukung oleh Cloud Firewall

Catatan

Untuk informasi lebih lanjut tentang cara mengonfigurasi mode mesin deteksi ancaman, lihat Konfigurasi IPS.

Jenis serangan	Bahaya serangan	Saran
Koneksi mencurigakan	Penyerang mungkin menggunakan pemindai untuk memindai port terbuka pada server. Jika server memiliki port database tidak sah atau layanan dengan kata sandi lemah, kehilangan data atau kebocoran data mungkin terjadi. Sebagai contoh, akses tidak sah ke Redis adalah risiko umum. Jika pengaturan keamanan database Redis tidak dikonfigurasi dengan benar, penyerang dapat memperoleh data sensitif atau merusak database dengan menerapkan akses tidak sah.	Jika Anda memiliki sejumlah aplikasi non-web, seperti aplikasi MySQL dan SQL Server untuk mana port 80, 443, atau 8080 diaktifkan, perhatikan apakah aturan untuk perilaku seperti shellcode dan operasi sensitif terkena. Aturan tersebut juga merupakan metode serangan yang ditujukan untuk aplikasi non-web. Jika Anda tidak memiliki aplikasi non-web sebelumnya, kami sarankan Anda mengaktifkan Block Mode - Strict.
Eksekusi perintah	Jika penyerang mengeksekusi perintah berbahaya, konsekuensi serius mungkin terjadi. Sebagai contoh, izin kontrol server mungkin diperoleh, data sensitif mungkin bocor, dan sistem lain mungkin diserang. Sebagai contoh, penyerang dapat memanfaatkan kerentanan Log4j untuk mengeksekusi perintah berbahaya, yang menimbulkan ancaman keamanan.	Anda dapat menggunakan mode Block Mode - Longgar untuk melindungi sebagian besar aplikasi web terhadap serangan RCE umum dan tidak umum. Mode ini juga memenuhi kebutuhan perlindungan harian Anda. Serangan RCE adalah yang paling berbahaya di antara berbagai serangan. Jika Anda menggunakan Block Mode - Sedang untuk melindungi terhadap serangan RCE, Anda harus memperhatikan detail hit aturan untuk setiap modul. Jika bisnis Anda kompleks dan melibatkan sejumlah aplikasi non-web, kami sarankan Anda mengaktifkan Block Mode - Strict.
Pemindaian	Jika mesin atau perangkat jaringan kelebihan beban oleh pemindaian jaringan, gangguan layanan atau masalah stabilitas mungkin terjadi. Akibatnya, sistem mungkin berhenti merespons atau layanan mungkin menjadi tidak tersedia.	Kami sarankan Anda memeriksa apakah named pipes SMB diaktifkan dalam bisnis Anda. Named pipes SMB digunakan untuk fitur seperti berbagi file. Jika Anda tidak perlu menggunakan named pipes SMB dalam bisnis Anda, kami sarankan Anda menonaktifkan named pipes SMB untuk mengurangi risiko keamanan potensial. Jika Anda perlu menggunakan named pipes SMB, kami sarankan Anda mengaktifkan Block Mode - Medium atau Block Mode - Strict.
Keberceceran informasi	Keberceceran informasi dapat menyebabkan pelanggaran hak privasi pribadi, dan penggunaan tidak sah informasi sensitif, seperti nomor kartu identitas, informasi kontak, dan informasi keuangan.	Definisi keberceceran informasi mungkin bervariasi berdasarkan bisnis Anda. Perhatikan detail hit aturan dalam Block Mode - Medium dan Block Mode - Strict. Kami sarankan Anda mengaktifkan Monitor Mode untuk memantau detail hit aturan dan memeriksa apakah false positif dilaporkan dalam siklus bisnis, seperti 24 jam, seminggu, atau sebulan. Jika tidak ada false positif dilaporkan dalam Monitor Mode, lalu lintas normal tidak diidentifikasi sebagai ancaman. Dalam hal ini, Anda dapat mengaktifkan Block Mode - Medium atau Block Mode - Strict.
Serangan DoS	Jika mesin atau perangkat jaringan kelebihan beban oleh serangan DoS, gangguan layanan atau masalah stabilitas mungkin terjadi. Akibatnya, sistem mungkin berhenti merespons atau layanan mungkin menjadi tidak tersedia.	Serangan DoS kurang berbahaya. Anda dapat memeriksa apakah layanan Anda terganggu atau ditangguhkan karena penyebab yang tidak diketahui. Jika layanan Anda tidak terpengaruh, Anda dapat mempertahankan pengaturan Block Mode - Loose. Jika bisnis Anda memerlukan tingkat uptime layanan yang tinggi, Anda dapat memilih Block Mode - Medium atau Block Mode - Strict.
Serangan luapan	Jika mesin atau perangkat jaringan kelebihan beban oleh serangan luapan, gangguan layanan atau masalah stabilitas mungkin terjadi. Akibatnya, sistem mungkin berhenti merespons atau layanan mungkin menjadi tidak tersedia.	Serangan luapan terjadi ketika titik input dalam representasi biner tidak dikontrol secara ketat. Dalam hal ini, akses di luar batas terjadi selama konfigurasi parameter, dan serangan lain seperti eksekusi perintah dan keberceceran informasi dimulai. Saat Anda melindungi terhadap serangan luapan, perhatikan detail hit serangan aplikasi non-web. Jika bisnis Anda terutama melibatkan aplikasi web, Anda dapat memilih Block Mode - Loose. Jika bisnis Anda melibatkan sejumlah aplikasi non-web, kami sarankan Anda memilih Block Mode - Medium atau Block Mode - Strict.
Serangan web	Serangan web adalah ancaman keamanan serius. Penyerang dapat memperoleh izin kontrol pada server tertentu dan mencuri data sensitif dengan memulai serangan web. Ini dapat menyebabkan gangguan layanan.	Serangan web umum termasuk injeksi SQL, serangan XSS, dan file sewenang-wenang yang terdaftar dalam Proyek Keamanan Aplikasi Web Terbuka (OWASP) Top 10. Untuk mencegah serangan ini, kami sarankan Anda melakukan pengujian ketat selama rilis canary dan rilis resmi aturan. Kami juga sarankan Anda mengaktifkan Block Mode - Medium atau Block Mode - Strict selama O&M rutin.
Trojan	Trojan adalah jenis malware yang dapat memberikan akses tidak sah berkelanjutanke mesin korban. Penyerang mungkin mengakses sistem lagi bahkan jika kerentanan sistem diperbaiki. Penyerang dapat memantau sistem yang terganggu untuk waktu yang lama dan mencuri data sensitif dengan menggunakan trojan. Sistem yang terganggu oleh trojan dapat menyebabkan tanggung jawab hukum, tuntutan hukum, denda, dan kerusakan reputasi.	Dalam banyak kasus, enkripsi, ofusikasi, dan pengkodean digunakan dalam komunikasi trojan untuk menghindari langkah-langkah perlindungan. Dalam mode Block Mode - Ketat, fitur lemah biasanya digunakan untuk deteksi dan pemblokiran. Dalam operasi sehari-hari, kami sarankan Anda mengaktifkan mode Block Mode - Sedang. Dalam banyak kasus, enkripsi, ofusikasi, dan pengkodean digunakan dalam komunikasi trojan untuk menghindari langkah-langkah perlindungan. Dalam mode Mode Blokir - Ketat, fitur lemah biasanya digunakan untuk deteksi dan pemblokiran. Kami menyarankan Anda mengaktifkan Block Mode - Medium atau Block Mode - Strict selama O&M rutin.
Cacing	Cacing adalah jenis malware persisten yang memberikan akses tidak sah berkelanjutan ke mesin korban. Penyerang mungkin mengakses sistem lagi bahkan jika kerentanan sistem diperbaiki. Penyerang dapat memantau sistem yang terganggu untuk waktu yang lama dan mencuri data sensitif dengan menggunakan cacing. Pada saat yang sama, sistem yang terganggu oleh cacing dapat menyebabkan tanggung jawab hukum, tuntutan hukum, denda, dan kerusakan reputasi.	Dalam banyak kasus, jenis serangan ini mengganggu host. Jika aturan terkena dalam Monitor Mode, Anda harus menggunakan fitur analisis jejak balik untuk mengidentifikasi sumber serangan dan mengambil tindakan balasan yang sesuai. Jika tidak ada aturan yang terkena, host berjalan dengan aman. Dalam hal ini, kami sarankan Anda mengaktifkan Block Mode - Medium.
Penambangan	Penambangan adalah perilaku berbahaya yang menempati sumber daya bandwidth dan daya komputasi mesin, yang menyebabkan tersendatnya sistem dan memengaruhi kinerja sistem. Akibatnya, masalah terjadi, seperti lambatnya aplikasi berjalan dan latensi respons, yang merugikan efisiensi dan pengalaman.	Dalam banyak kasus, jenis serangan ini mengganggu host. Jika aturan terkena dalam Monitor Mode, Anda harus menggunakan fitur analisis jejak balik untuk mengidentifikasi sumber serangan dan mengambil tindakan balasan yang sesuai. Jika tidak ada aturan yang terkena, host berjalan dengan aman. Dalam hal ini, kami sarankan Anda mengaktifkan Block Mode - Medium.
Reverse shell	Reverse shell adalah alat serangan yang memberikan akses tidak sah berkelanjutan ke mesin korban. Penyerang mungkin mengakses sistem lagi bahkan jika kerentanan sistem diperbaiki. Penyerang dapat memantau sistem yang terganggu untuk waktu yang lama dan mencuri data sensitif dengan menggunakan reverse shell. Pada saat yang sama, sistem yang terganggu oleh reverse shell dapat menyebabkan tanggung jawab hukum, tuntutan hukum, denda, dan kerusakan reputasi.	Dalam banyak kasus, jenis serangan ini mengganggu host. Jika aturan terkena dalam Monitor Mode, Anda harus menggunakan fitur analisis jejak balik untuk mengidentifikasi sumber serangan dan mengambil tindakan balasan yang sesuai. Jika tidak ada aturan yang terkena, host berjalan dengan aman. Dalam hal ini, kami sarankan Anda mengaktifkan Block Mode - Medium.
Lainnya	Serangan yang digunakan untuk koneksi keluar ilegal dan serangan yang disebabkan oleh koneksi keluar termasuk di dalamnya. Serangan yang tidak dapat diklasifikasikan juga termasuk.	Jika tidak ada koneksi keluar dalam bisnis Anda, Anda dapat memilih Block Mode - Loose. Jika berbagai browser dan aplikasi diinstal pada host Anda, dan koneksi keluar tidak dikelola, penyerang mungkin dengan mudah memulai serangan dengan menggunakan unduhan keluar dan komunikasi C2. Ini karena serangan melalui lalu lintas masuk relatif sulit untuk dimulai. Untuk bertahan terhadap serangan sebelumnya, kami sarankan Anda mengaktifkan Block Mode - Strict.

Mode mesin deteksi ancaman

Mode mesin deteksi ancaman adalah Mode Pantau dan Mode Blokir. Tindakan kebijakan perlindungan dasar dan kebijakan pembenahan virtual bervariasi berdasarkan mode mesin deteksi ancaman. Sebagai contoh, jika Anda mengatur mesin deteksi ancaman ke mode Blokir - Ketat, tindakan kebijakan perlindungan dasar dan kebijakan pembenahan virtual adalah Blokir. Daftar berikut menjelaskan mode mesin deteksi ancaman.

Kategori		Skenario	Deskripsi	Contoh
Pantau		Perlindungan tidak didukung.	Dalam Mode Pantau, sistem hanya mencatat serangan dan menghasilkan peringatan untuk serangan tersebut. Namun, sistem mencegat serangan dalam Mode Blokir.	Kerentanan DoS jarak jauh di Apache Tomcat (CVE-2014-0075), kerentanan SSRF di Atlassian Jira (CVE-2019-16097), dan komunikasi perangkat lunak backdoor Godlua
Blokir	Longgar	Sistem memblokir serangan secara longgar dengan menggunakan aturan yang mencegah tingkat false positif tinggi. Tingkat ini cocok untuk bisnis yang memerlukan tingkat false positif diminimalkan.	Pada tingkat ini, sistem mendeteksi kata kunci dan parameter utama dari eksploitasi kerentanan dalam paket serangan dan perilaku. Tidak ada false positif yang dapat dihasilkan.	Kerentanan RCE di Apache Struts 2 (CVE-2018-11776), akses tidak sah ke Spark REST API (CVE-2018-11770), dan kerentanan RCE di Jenkins (CVE-2018-1000861)
	Sedang	Sistem memblokir serangan secara standar. Tingkat ini cocok untuk O&M harian.	Pada tingkat ini, sistem menggunakan aturan umum untuk mendeteksi berbagai jenis serangan secara komprehensif berdasarkan metode deteksi berbeda untuk eksploitasi kerentanan. Tingkat ini memberikan tingkat false positif lebih rendah daripada tingkat Longgar.	Kerentanan RCE di Oracle WebLogic Server (CVE-2020-2551), kerentanan RCE di Microsoft WindowsRDP Client (CVE-2020-1374), dan serangan DoS di SMBv1 (CVE-2020-1301)
	Ketat	Sistem memblokir serangan secara ketat dengan menggunakan semua aturan. Tingkat ini cocok untuk bisnis yang memerlukan tingkat false negatif diminimalkan. Tingkat ini mungkin menyebabkan tingkat false positif lebih tinggi daripada tingkat Sedang.	Pada tingkat ini, sistem mendeteksi kerentanan tinggi, seperti luapan stack dan luapan buffer, sebagian besar merupakan kerentanan protokol Layer-4. Sistem mengidentifikasi serangan berdasarkan berbagai metode seperti analisis protokol, pencocokan kata kunci, pengalihan ganda, dan offset kata kunci.	Luapan buffer dalam pemrosesan permintaan HTTP Squid Proxy (CVE-2020-8450), serangan DoS dalam NGINX 0-Length Headers Leak (CVE-2019-9516), dan injeksi perintah di Oracle WebLogic `rda_tfa_ref_date` (CVE-2018-2615).

Cloud Firewall：Ikhtisar