クラウドリソースがインターネットと通信する場合、インターネット出口に Cloud Firewall をデプロイして、ネットワークアクセスを制御し、トラフィックを保護できます。これは、リソースがインターネットにアクセスするだけでサービスを提供しない場合でも推奨されます。
セキュリティリスク
ECS サーバーがインターネットに接続されている場合、インバウンドとアウトバウンドの両方のセキュリティ脅威にさらされます:
インバウンドの脅威: これらは、インターネットから発生するアクティブな攻撃です。攻撃者は常にパブリック IP アドレスをスキャンします。Secure Shell Protocol (SSH) のポート 22、データベースのポート 3306、リモートデスクトップのポート 3389 などのオープンポートを見つけた場合、次のメソッドを使用して侵入を試みます:
エクスプロイト: 攻撃者は、Log4j や Fastjson など、アプリケーションやシステムソフトウェアの既知の脆弱性を標的にします。その後、任意コード実行攻撃を開始して、サーバーを直接制御します。
ブルートフォース攻撃: 攻撃者は、SSH、RDP、データベースなどのサービスのパスワードを継続的に推測します。弱いパスワードが使用されている場合、サーバーは簡単に侵害されます。
Web 攻撃: これらは、SQL インジェクション、クロスサイトスクリプティング (XSS)、Webshell のアップロードなど、Web サービスに対する攻撃です。
DDoS 攻撃: 攻撃者は、不正な形式のパケットやトラフィックフラッドを使用してサーバーリソースを枯渇させ、サービスの中断を引き起こします。
アウトバウンドの脅威: サーバーが侵害されると、攻撃者のネットワークの踏み台になります。その後、サーバーは悪意のあるアウトバウンドトラフィックを生成し、深刻な結果につながる可能性があります:
C&C 通信 (コマンド & コントロール): 埋め込まれたトロイの木馬やボットネットプログラムは、外部のコントロールセンターにアクティブに接続して、命令を受信し、データを送信します。
データ侵害: ハッカーはサーバーから機密データを盗み、外部の場所に転送します。
ラテラルムーブメント: 攻撃者はサーバーを拠点として使用し、VPC 内の他のサーバーを攻撃したり、迷惑メールの送信や DDoS 攻撃への参加などの外部ネットワーク攻撃を開始したりします。これにより、IP アドレスがグローバルにブロックされ、ビジネスの評判が損なわれる可能性があります。
Cloud Firewall は、ディープパケットインスペクション (DPI) トラフィック分析、侵入防止システム (IPS) ルール、脅威インテリジェンス、仮想パッチ、およびアクセスの制御ポリシーを使用して、インバウンドおよびアウトバウンドトラフィックをフィルターします。トラフィックが許可されているかどうかを判断し、不正なアクセス試行を効果的にブロックします。これにより、パブリックアセットとインターネット間のトラフィックが保護されます。
ディープパケットインスペクション (DPI): Cloud Firewall は、IP アドレスとポートだけでなく、ネットワークトラフィックのコンテンツも検査します。
侵入防止システム (IPS): DPI に基づいて、Cloud Firewall は、何千もの攻撃シグネチャルールの組み込みライブラリを使用して、エクスプロイト、ブルートフォース攻撃、マイニングトロイの木馬、Webshell などの悪意のあるトラフィックを正確に検出してブロックします。この保護は、意図的に開いたポートをトラフィックがターゲットにしている場合でも有効です。
脅威インテリジェンスの統合: Cloud Firewall は、悪意のある IP アドレスとドメイン名の Alibaba Cloud のグローバル脅威インテリジェンスデータベースとリアルタイムで統合されます。既知の悪意のある IP アドレスやボットネット C&C サーバーからの接続リクエストを自動的にブロックします。
仮想パッチ: 公式のアプリケーションまたはシステムパッチがリリースされる前に、Cloud Firewall は IPS ルールを更新することで一時的な仮想パッチを提供します。これにより、攻撃者が使用する前に 0-day エクスプロイトをブロックします。
ベストプラクティス
インターネットファイアウォールを有効にしてパブリックアセットを保護する
アセット保護を有効にします。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。
インターネットボーダー タブで、[IPv4] または [IPv6] タブをクリックして、パブリックアセットの保護を手動で有効にします。
保護したいアセットがパブリックアセットリストに表示されない場合は、リストの右上隅にある Synchronize Assets をクリックして、Alibaba Cloud アカウントとそのメンバーアカウントからアセットを同期します。同期プロセスには 1〜2 分かかります。
単一のアセットの保護を有効にする
パブリックアセットのリストで、保護したいアセットを見つけます。そのアセットの [アクション] 列で、Enable Protection をクリックします。
複数のアセットの保護を有効にする
パブリックアセットリストで、1 つ以上のパブリックアセットを選択し、リストの下にある Enable Protection をクリックします。
または、データ統計エリアの Enable Protection をクリックして、すべてのパブリックアセットのインターネット境界保護を一度に有効にすることもできます。アセットは、パブリック IP、リージョン、アセットタイプなどのディメンション別に整理されています。
ファイアウォールを使用したアクセスの制御
中国以外のリージョンからのアクセスを拒否: 統計によると、多くの攻撃は中国国外の IP アドレスから発信されています。これらの IP アドレスからのアクセスを制限して、攻撃を減らすことができます。詳細については、「サーバーへの中国国外のリージョンからのトラフィックを拒否するアクセスの制御ポリシーを設定する」をご参照ください。
ECS インスタンスがアクセスできるドメインを制限する: 内部ホストからインターネットへのアクセスは、通常制限する必要があります。たとえば、サーバーが外部サイトからイメージやインストールパッケージをダウンロードする必要があるだけの場合、Web プロトコルのみを使用してサーバーがインターネットにアクセスできるように許可できます。詳細については、「インターネットに接続されたサーバーから特定のドメイン名へのトラフィックのみを許可するアクセスの制御ポリシーを設定する」および「内部向けサーバーから特定のドメイン名へのトラフィックのみを許可するアクセスの制御ポリシーを設定する」をご参照ください。
詳細については、「アクセスの制御のベストプラクティス」をご参照ください。
ファイアウォールを使用して一般的な攻撃から防御する
データベース攻撃からの防御: データベースに対する主な脅威には、ブルートフォース攻撃、データベースアプリケーションの脆弱性、悪意のあるファイルの読み書き、コマンド実行、情報窃盗、データ漏洩などがあります。Alibaba Cloud は、主流のデータベースソフトウェアに対して、詳細なストリーム分析、脅威検出、およびブロッキング機能を提供します。詳細については、「データベースセキュリティ防御のベストプラクティス」をご参照ください。
ワームからの防御: ワームは、サービスの脆弱性を悪用してネットワーク全体に積極的に拡散します。サービスの中断、情報窃盗、規制によるブロック、ランサムウェア攻撃などを引き起こす可能性があります。Cloud Firewall は、ワーム攻撃チェーンに対して階層的な防御を提供します。さまざまなワームとその亜種を検出してブロックします。クラウドリスクの状況に基づいて、Cloud Firewall は最新のワームに対する検出およびブロック機能をリアルタイムで更新および拡張します。これにより、ワームの攻撃と拡散のチェーン全体が中断されます。詳細については、「ワームから防御するためのベストプラクティス」をご参照ください。
システムセキュリティの脅威からの防御: システムセキュリティのリスクには、不適切に開かれたポート、弱いパスワード、弱いセキュリティポリシーなどの不適切な構成や、コマンド実行、サービス拒否、情報漏洩の脆弱性などのシステム脆弱性が含まれます。Cloud Firewall IPS モジュールは、グローバルな攻撃の状況を監視します。スキャンや侵入の動作をブロックし、高リスクの脆弱性を悪用するアクセスを傍受し、リバースシェルやシステムファイルの漏洩などの動作をブロックします。詳細については、「システムセキュリティ防御のベストプラクティス」をご参照ください。
マイニングプログラムからの防御: Cloud Firewall IPS モジュールは、脆弱性インテリジェンスと仮想パッチを使用して、ほとんどのマイニングワームが使用するネットワークエクスプロイトを追跡および防御し、ウイルスの拡散をブロックします。Cloud Firewall はまた、侵害検知機能を使用してマイニングワームを検出し、感染したサーバーを特定し、迅速な修復を可能にします。詳細については、「マイニングプログラムから防御するためのベストプラクティス」をご参照ください。