クラウドリソースがインターネットと通信する場合、アウトバウンドアクセスのみであっても、インターネット出口に Cloud Firewall をデプロイする必要があります。これにより、ネットワークアクセスを制御し、トラフィックを保護できます。
セキュリティリスク
インターネットに接続された Elastic Compute Service (ECS) インスタンスは、インバウンドとアウトバウンドの両方のセキュリティ脅威にさらされています:
-
インバウンドの脅威:これらは、インターネットから発信されるアクティブな攻撃です。攻撃者は継続的にパブリック IP アドレスをスキャンします。SSH のポート 22、データベースのポート 3306、リモートデスクトップのポート 3389 などの開いているポートを見つけると、次の方法で侵入する可能性があります:
-
エクスプロイト:攻撃者は、Log4j や Fastjson など、アプリケーションやシステムソフトウェアの既知の脆弱性に対してリモートでのコード実行攻撃を仕掛け、インスタンスを直接制御しようとします。
-
ブルートフォース攻撃:攻撃者は、SSH、RDP、データベースなどのサービスのパスワードを執拗に推測しようとします。脆弱なパスワードが使用されている場合、インスタンスは容易に侵害される可能性があります。
-
Web 攻撃:SQL インジェクション、クロスサイトスクリプティング (XSS)、ウェブシェルのアップロードなど、Web サービスを標的とする攻撃が含まれます。
-
DDoS 攻撃:攻撃者は、不正なパケットやトラフィックフラッドを使用してインスタンスのリソースを枯渇させ、サービスの中断を引き起こします。
-
-
アウトバウンドの脅威:インスタンスが侵害されると、攻撃者のネットワーク内の踏み台になる可能性があります。これにより、悪意のあるアウトバウンド接続が発生し、深刻な結果につながる可能性があります:
-
コマンド & コントロール (C&C) 通信:埋め込まれたトロイの木馬やボットネットプログラムが、外部の C&C サーバーに接続して指示を受け取り、データを送り返します。
-
データ侵害:攻撃者はインスタンスから機密データを盗み、外部サーバーに転送します。
-
ラテラルムーブメント:侵害されたインスタンスを踏み台にして、攻撃者は VPC 内の他のインスタンスを標的にしたり、スパムの送信や DDoS 攻撃への参加などの外部攻撃を開始したりする可能性があります。このアクティビティにより、IP アドレスが世界的にブラックリストに登録され、ビジネスの評判が損なわれる可能性があります。
-
Cloud Firewall は、ディープパケットインスペクション (DPI)、侵入防止システム (IPS) ルール、脅威インテリジェンス、仮想パッチ、アクセス制御ポリシーなどのテクノロジーを使用して、インバウンドおよびアウトバウンドのトラフィックをフィルタリングします。トラフィックを許可すべきかどうかを判断し、不正なアクセスを効果的にブロックし、パブリックアセットとインターネット間のトラフィックを保護します。
-
ディープパケットインスペクション (DPI):Cloud Firewall は、IP アドレスとポートだけでなく、ネットワークトラフィックのコンテンツも検査します。
-
侵入防止システム (IPS):DPI 上に構築された IPS は、数千もの攻撃シグネチャルールのライブラリを使用して、意図的に開いたポートを使用するトラフィックであっても、エクスプロイト、ブルートフォース攻撃、マイニングトロイの木馬、ウェブシェルなどの悪意のあるトラフィックを正確に特定し、ブロックします。
-
脅威インテリジェンスの統合:Cloud Firewall は、Alibaba Cloud のネットワーク全体の悪意のある IP アドレスとドメインのデータベースとリアルタイムで統合しています。既知の悪意のある IP やボットネットのコマンド & コントロール (C&C) サーバーからの接続試行を自動的にブロックします。
-
仮想パッチ:公式のソフトウェアまたはシステムパッチがリリースされる前に、Cloud Firewall は IPS ルールを更新して一時的な「仮想パッチ」を提供できます。これにより、攻撃者がゼロデイ脆弱性を悪用する前に、そのエクスプロイトをブロックできます。
ベストプラクティス
インターネットファイアウォールの有効化とパブリックアセットの保護
-
アセットの保護を有効化します。
-
Cloud Firewall コンソールにログインします。
-
左側のナビゲーションペインで、ファイアウォールスイッチ をクリックします。
-
インターネットボーダー タブで、[IPv4] または [IPv6] タブをクリックして、パブリックアセットの保護を手動で有効化します。
保護したいアセットがパブリックアセットリストに表示されない場合は、右上隅にある Synchronize Assets をクリックします。この操作により、現在の Alibaba Cloud アカウントとそのメンバーアカウントからアセットが同期されます。同期プロセスには約 1〜2 分かかります。
-
単一のアセットの保護を有効化
パブリックアセットリストで、保護したいアセットを見つけ、[操作] 列の Enable Protection をクリックします。
-
複数のアセットの保護を有効化
パブリックアセットリストで、保護するアセットを選択し、リストの下にある Enable Protection をクリックします。
統計エリアの Enable Protection をクリックして、パブリック IP、リージョン、アセットタイプなどのディメンションでグループ化されたすべてのパブリックアセットの保護を一度に有効にすることもできます。
-
-
Use the firewall for access control
-
Deny access from foreign regions: Statistics show that many attacks originate from foreign IP addresses. Restricting access from these locations helps reduce your attack surface. For more information, see Configure a policy to deny host access from foreign regions.
-
Restrict domains that an ECS instance can access: Outbound Internet access from internal hosts should generally be restricted. For example, if an instance only needs to download images or installation packages from external sites, you should only allow web protocols for Internet access. For more information, see Configure a policy to allow a public instance to access a specific domain and Configure a policy to allow a private instance to access a specific domain.
For more best practices, see Access control best practices.
Defend against common attacks
-
Defend against database attacks: Major threats to databases include brute-force attacks, application vulnerabilities, malicious file read/write operations, command execution, information theft, and data dumping. Cloud Firewall provides deep traffic analysis, threat detection, and blocking capabilities for mainstream database software. For more information, see Best practices for database defense.
-
Defend against worms: Worms spread actively across networks by exploiting service vulnerabilities. They can cause service disruptions, information theft, regulatory blocks, and ransomware attacks. Cloud Firewall provides layered defense against the entire worm attack chain by detecting and blocking various worms and their variants. It continuously updates these capabilities based on the evolving security landscape to stop worm propagation. For more information, see Best practices to defend against worms.
-
Defend against system security threats: System security risks include improper configurations (such as unnecessary open ports, weak passwords, and weak security policies) and system vulnerabilities (such as remote code execution, denial-of-service, and information disclosure vulnerabilities). The Cloud Firewall IPS module monitors network-wide attack trends, proactively blocks scanning and intrusion attempts, intercepts high-risk exploits, and stops reverse shells and system file leaks. For more information, see Best practices for system security defense.
-
Defend against mining programs: The Cloud Firewall IPS module uses threat intelligence and virtual patching to track and defend against network exploits used by mining worms, thereby blocking their propagation. Additionally, the breach awareness feature in Cloud Firewall can detect mining worms, identify infected instances, and enable timely remediation. For more information, see Best practices to defend against mining programs.