プロキシは、クライアント間でトラフィックを間接的にルーティングするため、ネットワーク検出をバイパスするための一般的なツールとなっています。企業クラウド環境内で権限なしで使用される場合、プロキシは侵入防止システム (IPS) ルール、アクセス制御ポリシー、および脅威インテリジェンスルールを損なう可能性があります。
Cloud Firewall には、SOCKS5 プロキシのアクティビティを検出する IPS ルールが含まれています。これらのルールは、デフォルトで [監視] モードで実行されます。[ブロック] モードに切り替えると、プロキシベースの脅威による損害を未然に防ぐことができます。
潜在的な影響
プロキシトラフィックをブロックしないままにすると、ご利用の環境は以下のリスクにさらされます。
不正なデータ持ち出し — 従業員はプロキシを使用して内部データをネットワーク外に転送し、IPS ルール、アクセス制御ポリシー、および脅威インテリジェンスルールを回避できます。
内部ネットワークへの侵入 — 攻撃者はプロキシを介して内部ネットワーク経由でトラフィックを中継し、インフラストラクチャ全体での偵察とラテラルムーブメントを可能にします。
マルウェアの拡散 — ワームとトロイの木馬は、プロキシを使用して IPS ルール、アクセス制御ポリシー、および脅威インテリジェンスルールによる検出を回避できます。
SOCKS5 通信のブロック
SOCKS5 関連の IPS ルールを 監視 から [ブロック] モードに切り替えて、プロキシベースの攻撃を防止します。
操作手順
[Cloud Firewall コンソール]にログインします。
[防止設定] > [IPS 設定] を選択します。
[基本保護] セクションで、[設定] をクリックします。
「[基本保護]」ダイアログボックスで、一部またはすべての SOCKS5 関連のルールのモードを 監視 から [ブロック] に変更します。
[ブロック] モードに切り替えると、Cloud Firewall はアクティブに SOCKS5 プロキシトラフィックをドロップすることで、上記の影響を防止または最小化します。