このトピックでは、アセットから Threat Detection and Response (NDR) システムにトラフィックをプロビジョニングする方法について説明します。
利用シーン
アセットからのインターネットトラフィックのプロビジョニング:このシナリオは、Elastic IP アドレス (EIP) またはパブリック IP アドレスが割り当てられているアセットに適用されます。対象となる Alibaba Cloud サービスには、Elastic Compute Service (ECS)、Server Load Balancer (SLB)、NAT Gateway、Elastic Network Interface (ENI)、Application Load Balancer (ALB)、Network Load Balancer (NLB) などがあります。
アセットからのプライベートネットワークトラフィックのプロビジョニング:このシナリオは、すべての ECS アセットからのプライベートネットワークトラフィックに適用されます。システムは、VPC トラフィックミラーリングや PrivateLink などのコンポーネントを自動的に作成し、プライベートネットワークトラフィックを NDR にミラーリングします。この機能により、アセットからのプライベートネットワークトラフィックのプロビジョニングが簡素化されます。
NDR はバイパス方式のトラフィックミラーリングを使用します。この方法は非侵入型であり、オンラインサービストラフィックに影響を与えません。
パブリックアセットからのインターネットトラフィックのプロビジョニング
手動プロビジョニング (推奨)
パブリック IP アドレスが割り当てられているアセットを NDR にプロビジョニングして保護できます。
左側のナビゲーションウィンドウで、Access Management をクリックします。
Internet タブで、Manual Access をクリックします。
Manual Access パネルで、プロビジョニングするアセットを選択し、Confirm Access をクリックします。
まず、テスト用にトラフィックの少ない EIP をプロビジョニングしてください。システムが安定していることを確認した後、必要なすべてのトラフィックを段階的にプロビジョニングします。
手動プロビジョニングは、特定のトラフィックの脅威を分析する必要があるシナリオに適しています。この方法では、特定のサービストラフィックを保持および追跡して分析できます。
一括プロビジョニング
左側のナビゲーションウィンドウで、Access Management をクリックします。
Internet タブで、Full Access をクリックします。
[操作] ダイアログボックスで、[OK] をクリックします。
一括プロビジョニングは大量のトラフィックを発生させる可能性があります。この操作はオフピーク時に実行してください。
一括プロビジョニングは、関連付けられた EIP を通過する Alibaba Cloud との間の南北トラフィックを非侵入型で複製することによって機能します。
一括プロビジョニングは、コンプライアンス要件を満たすために、メッセージ保持と脅威追跡のためにすべてのトラフィックをプロビジョニングする必要があるシナリオに適しています。また、どのサービスがリスクにさらされているかわからない場合にも役立ちます。
プロビジョニング済みアセットの表示
アセットをプロビジョニングすると、NDR はフルトラフィックの脅威検知でクラウド資産を継続的に保護します。Access Management リストでは、[IP]、[インスタンス ID/名前]、Asset Type/Region、Associated Asset、[プロトコル/ポート]、Status、Collected At などの情報を表示できます。また、[操作] 列でターゲットインスタンスを [編集] または [停止] することもできます。
利用可能な操作
フィルター:プロトコル、Alibaba Cloud サービス、収集ステータス、アセット ID、IP アドレス、アセット名などの基準でアセットをフィルターします。
停止:[操作] 列で [停止] をクリックして、Alibaba Cloud サービスのトラフィック収集を無効にします。
編集:[操作] 列で [編集] をクリックして、Alibaba Cloud サービスのポート、プロトコルタイプ、トラフィックしきい値、収集時間などの設定を変更します。
アセットからのプライベートネットワークトラフィックのプロビジョニング
アセットトラフィックのプロビジョニング
左側のナビゲーションウィンドウで、Access Management をクリックします。
VPC タブでは、Total Assets、Collected Assets、Uncollected Assets、および Virtual Private Cloud (VPC) のリストを表示できます。
トラフィックをプロビジョニングする VPC を選択します。[操作] 列で、[プロビジョニング] をクリックします。
[プロビジョニング] パネルで、設定ウィザードに従って次の設定を行います。
設定手順
設定項目
説明
利用可能な操作
Define Mirroring Parameters
ネットワーク設定
サービスの可用性を高めるために、NDR は 2 つの異なるゾーンに個別の vSwitch を作成する必要があります。一方のゾーンで障害が発生した場合、もう一方のゾーンがサービスを提供し続けることができます。NDR vSwitch の CIDR ブロックは、VPC CIDR ブロックのサブセットである必要があります。マスク長は 24〜27 の範囲である必要があります。
説明例えば、VPC CIDR ブロックが 192.168.0.0/16 の場合、192.168.0.0/24 から 192.168.0.0/27 までのサブネットを選択できます。27 ビットマスクのサブネットを使用します。このサイズは、約 60 Gbps のプロビジョニング容量を提供し、ほとんどのニーズを満たし、VPC 内の IP リソースの浪費を回避します。
2 つの異なるゾーンにサブネットを設定します。NDR は、現在の VPC CIDR ブロックと既存の vSwitch サブネットに基づいて、可能な限り最小の範囲で 2 つの準拠サブネットを計算し、入力します。
説明VPC に十分なサブネットリソースがない場合、NDR は準拠したサブネットを自動的に計算できません。「CIDR ブロックが現在の VPC 内の他の vSwitch の CIDR ブロックと重複しています」というメッセージが表示されます。続行する前に、いくつかの vSwitch サブネットを手動で解放する必要があります。
View vSwitches in this VPC をクリックして、現在の VPC の vSwitch の詳細を表示します。
Mirror Traffic Threshold
ミラーリングされる帯域幅のしきい値を設定します。
必要に応じて、ドロップダウンリストから帯域幅を選択します。
プロビジョニングされるトラフィックのしきい値を設定します。しきい値を超えると、トラフィックのプロビジョニングは停止します。
特定のトラフィックしきい値を設定します。
Unlimited チェックボックスを選択します。
トラフィックプロビジョニングの期間タイプを設定します。
Unlimited:継続的にトラフィックを収集します。
説明期間タイプを [無制限] に設定した場合、NDR は継続的にトラフィックを収集します。トラフィックしきい値も設定した場合、しきい値に達すると収集は停止します。
Single Time Range:トラフィックプロビジョニングの期間を設定します。
Recurring cycle:トラフィックプロビジョニングの定期的なスケジュールを設定します。
Configure Traffic Mirroring
トラフィックをプロビジョニングするミラーリング対象のアセットを選択します。
トラフィックをミラーリングするアセットを選択します。
[確認] をクリックします。
Billing Note ダイアログボックスで、[OK] をクリックします。
重要トラフィックミラーを作成すると料金が発生します。VPC がサービスに対して課金します。課金の詳細については、「トラフィックミラーリング」をご参照ください。
[閉じる] をクリックします。
アセットがプロビジョニングされている間、VPC ID/Name 列の [プロビジョニング中] をクリックして、プロビジョニングのステータスを表示できます。プライベートネットワークトラフィック用のアセットがプロビジョニングされると、NDR はそれらに対してデフォルトのトラフィックフィルター ルールを自動的に設定します。また、サービス要件に基づいてフィルター ルールをカスタマイズすることもできます。詳細については、「トラフィックフィルター ルールのカスタマイズ」をご参照ください。
プロビジョニング済みアセットの表示
[操作] 列で、[詳細] をクリックします。
[詳細] パネルで、VPC 内の Mirroring Parameters と Traffic Mirroring Assets のプロビジョニングステータスを表示できます。
[ミラーリングパラメータ] タブでは、次の操作を実行できます:
NDR 収集 vSwitch を表示します。vSwitch 名をクリックすると、VPC コンソールに移動してその詳細を表示できます。
[変更] をクリックして、ミラーリングされる帯域幅のしきい値を変更できます。
Advanced Settings セクションで、Edit Information をクリックして Traffic Threshold と Period Type を変更します。
[ミラーリングされたトラフィックアセット] タブでは、収集済みおよび未収集のアセットを表示できます。
未収集のアセットについては、[操作] 列の [トラフィックのリダイレクト] をクリックして、そのトラフィックを管理します。
収集済みのアセットについては、Filter Rule 列の鉛筆アイコンをクリックして、トラフィックフィルター ルールを変更します。[新しいルール] をクリックして新しいルールをカスタマイズすることもできます。詳細については、「トラフィックフィルター ルールのカスタマイズ」をご参照ください。
トラフィックフィルター ルールのカスタマイズ
方向、IP アドレス、ポート、プロトコルに基づいて特定のトラフィックを許可または拒否する条件を定義できます。これにより、プライベートネットワークトラフィックの収集を詳細に制御できます。
手順
アセットリストの右上隅にある Filter Rule をクリックします。
Filter Rule パネルで、Create Rule をクリックします。
Create Rule パネルで、Rule Name と Rule Condition を設定できます。
Add Rule Condition をクリックし、次の表に従って条件を設定します。
設定項目
説明
Direction
フィルターするトラフィックの方向。インバウンドまたはアウトバウンドを選択します。
[プロトコルタイプ]
トラフィックのプロトコルタイプを選択します。ALL (すべてのプロトコルタイプ)、ICMP、TCP、UDP などを選択できます。
送信元CIDRブロック
送信元 CIDR ブロックを設定します。
Source Port
送信元ポート番号を設定します。ポート範囲は 1〜65535 です。スラッシュ (/) を使用して開始ポートと終了ポートを区切ります (例:1/200 または 80/80)。
宛先 CIDR ブロック
宛先 CIDR ブロックを設定します。
Destination Port
宛先ポート番号を設定します。ポート範囲は 1〜65535 です。スラッシュ (/) を使用して開始ポートと終了ポートを区切ります (例:1/200 または 80/80)。
Collect or Not
ルールによってフィルターされたトラフィックを収集するかどうかを指定します。
[はい]:フィルター ルールに一致するトラフィックのみを収集します。
[いいえ]:フィルター ルールに一致するトラフィックは収集しません。他のトラフィックは通常どおり収集されます。
Priority
フィルター ルールの優先度を設定します。値が小さいほど、優先度が高くなります。
その他の操作
ルールの編集:[操作] 列で [詳細] をクリックして、ルールの基本情報を表示または変更します。既存のルール条件を変更または削除したり、新しい条件を追加したりすることもできます。
ルールの削除:[操作] 列で [削除] をクリックして、参照されていないカスタムフィルター ルールを削除します。