クラウドハニーポットの構成 - Security Center - Alibaba Cloud ドキュメントセンター

クラウドハニーポット機能は、お使いの Virtual Private Cloud (VPC) やサーバーにハニーポット (デコイ) をデプロイし、クラウド内外からの攻撃を検出します。攻撃者が実際の資産の代わりにハニーポットとやり取りすると、Security Center はそのアクティビティを記録し、対応可能なアラートを生成します。

このトピックでは、管理ノードの作成、(オプションの) ハニーポットテンプレートの作成、ハニーポットの作成、プローブのデプロイという 4 つのステップで設定手順を説明します。

前提条件

開始する前に、以下を確認してください。

クラウドハニーポット機能が有効化されていること。詳細については、「クラウドハニーポット機能の購入」をご参照ください。
(パブリック IP アドレスを持たないデータセンターのサーバーの場合) データセンターにプロキシサーバーが構成されていること。下記の「データセンターでのプロキシサーバーの構築」をご参照ください。

データセンターでのプロキシサーバーの構築

ご利用のサーバーにパブリック IP アドレスがある場合は、このセクションをスキップしてください。

ハニーポットは HTTPS 接続を使用するため、レイヤー 4 の HTTPS リバースプロキシ (レイヤー 7 プロキシではない) が必要です。NGINX 1.9.0 は --with-stream パラメーターでこれをサポートします。

要件：プロキシサーバーに GNU Compiler Collection (GCC) と zlib-devel がインストールされている必要があります。

ステップ 1：NGINX のダウンロードとコンパイル

NGINX 1.9.0 をダウンロードします。
ストリームモジュールをサポートする形で NGINX をコンパイルしてインストールします。
```
tar -xvf nginx-1.9.0.tar.gz
cd nginx-1.9.0
./configure --without-http_rewrite_module --with-stream
make
make install
```

ステップ 2：NGINX 構成の更新

/usr/local/nginx/conf/nginx.conf を編集し、内容を次のものに置き換えます。<management-node-ip> を、[管理ノード] タブ (Security Center コンソールで [リスクガバナンス] > [クラウドハニーポット] > [設定管理] に移動) の [管理ノードの IP アドレス] 列に表示されている IP アドレスに置き換えます。

#user nobody;
worker_processes auto;
error_log logs/error.log;

#error_log logs/error.log notice;
error_log logs/error.log info;
pid logs/nginx.pid;

events {
    use epoll;
    worker_connections 60000;
}

stream {
        server {
            listen 1337;
            proxy_timeout 10m;
            proxy_connect_timeout 60s;
            proxy_pass proxy1337;
        }
        upstream proxy1337 {
           server <management-node-ip>:1337;
        }

        server {
            listen 1338;
            proxy_timeout 10m;
            proxy_connect_timeout 60s;
            proxy_pass proxy1338;
        }
        upstream proxy1338 {
          server <management-node-ip>:1338;
        }
}

ステップ 3：NGINX の起動

/usr/local/nginx/sbin/nginx

仕組み

この設定には、連携して動作する 3 つのコンポーネントが含まれます。

管理ノード — 中央コントローラーです。ハニーポットは管理ノード上で実行され、プローブはキャプチャしたトラフィックを管理ノードに転送します。
ハニーポット — 攻撃者をおびき寄せるデコイアプリケーション (Web サーバー、データベースなど) です。
プローブ — ホストまたは VPC にデプロイされるトラフィックリダイレクターです。ホストプローブは指定されたポートのトラフィックを傍受します。VPC プローブは、存在しない内部 IP アドレス宛のトラフィックを傍受し、それを透過的にハニーポットにルーティングします。

デプロイは、管理ノード → ハニーポット (およびオプションでテンプレート) → プローブの順で行います。

重要

新しく追加したホストプローブを実行しているホストサーバーが、関連付けられた管理ノードに到達できることを確認してから次に進んでください。

ステップ 1：管理ノードの作成

Security Center コンソールにログインします。上部のナビゲーションバーで、アセットのリージョンとして [中国] または [中国本土以外] を選択します。Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、リスクガバナンス > クラウドハニーポット > 構成管理 を選択します。
「[管理ノード]」タブで、「[管理ノードの作成]」をクリックします。
表示されるパネルで、次のパラメーターを設定し、[OK]をクリックします。

パラメーター	説明	例
管理ノード名	管理ノードの名前。	`honeypot-node-prod`
割り当てられたプローブ	割り当てるプローブの数。有効値：20～100。100 を超える値は自動的に 100 に制限されます。カバー率を確保するため、CIDR ブロックごとに 2～3 個のホストプローブ、VPC ごとに 1 個の VPC プローブをデプロイします。	`30`
許可される CIDR ブロック	ホストプローブがこの管理ノードに接続するために使用できる送信元 CIDR ブロック。最大 100 個の CIDR ブロックを指定できます。プローブの送信元 IP アドレスは、これらの範囲内にある必要があります。	`10.0.0.0/8`
ハニーポットのインターネットアクセスを許可	この管理ノード内のハニーポットがインターネットにアクセスできるかどうか。内部ネットワークへのデプロイメントでは、このオプションをオフにしてください。これにより、ノードは攻撃検出のみに限定され、攻撃者がハニーポットを踏み台にして外部へ攻撃するリスクを低減します。	オフ

作成後、管理ノードのステータスは約 5 分間 [準備中] と表示され、その後 [正常] に変わります。次に進む前に [正常] になるまで待機してください。

ステップ 2：(オプション) ハニーポットテンプレートの作成

ハニーポットテンプレートを使用すると、Web サイトのタイトル、オフィスオートメーション (OA) の背景画像、Web ページデータなどのカスタム属性を事前設定できるため、ハニーポットが実際のアプリケーションをより忠実に模倣できます。同じカスタム構成を複数のハニーポットで再利用したい場合にテンプレートを作成します。

[設定管理] ページの [ハニーポットテンプレート] タブで、左側でハニーポットの種類を選択し、[テンプレートを作成] をクリックします。
「[テンプレートの作成]」パネルで、パラメーターを設定し、[OK] をクリックします。

パラメーター	説明	例
テンプレート名	テンプレートの名前。	`web-app-decoy-template`
管理ノード	ハニーポットをデプロイする管理ノード。ステップ 1 で作成したノードを選択します。	`honeypot-node-prod`

利用可能なパラメーターはハニーポットタイプによって異なります。追加のカスタマイズオプションについては、チケットを送信してテクニカルサポートにご連絡ください。

ステップ 3：ハニーポットの作成

ハニーポットは個々のデコイインスタンスです。システムは、サポートされている各タイプに対応する組み込みのハニーポットイメージを提供します。

[設定管理] ページの [ハニーポット管理] タブで、[ハニーポットの作成] をクリックします。
[ハニーポットの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。

パラメーター	説明	例
名前	ハニーポットの名前。	`web-honeypot-01`
管理ノード	ハニーポットをデプロイする管理ノード。ステップ 1 で作成したノードを選択します。	`honeypot-node-prod`
ハニーポットタイプ	デコイアプリケーションのタイプ。オプション：[Web]、[高度]、[特殊な脆弱性]、[システムサービス]、[データベース]。	`Web`
ハニーポットのカスタム構成	このチェックボックスを選択して、ハニーポットのタイプに基づいてカスタム属性を構成します。テンプレートを再利用するには、[構成用テンプレートのインポート] をクリックし、手順 2 で作成したテンプレートを選択します。カスタムハニーポットおよびテンプレートの詳細については、チケットを送信してテクニカルサポートにお問い合わせください。	—

ステップ 4：プローブの作成

プローブは、ホストやネットワークからの異常トラフィックをハニーポットにリダイレクトします。利用可能なプローブには 2 種類あります。

ホストプローブ — ホストにクライアントをインストールし、指定されたポートのトラフィックをハニーポットクラスターに転送します。
VPC プローブ — VPC 内の IP アドレス (IP_A) が存在しない内部 IP アドレス (IP_B) にアクセスしようとすると、VPC プローブがそのトラフィックを傍受し、IP_A を透過的にハニーポット (IP_C) にルーティングします。

重要

VPC プローブは VPC (他のネットワークタイプではない) にのみデプロイでき、各 VPC は 1 つの VPC プローブしかサポートしません。VPC プローブを作成する前に、「制限事項」ページでサポートされているリージョンを確認してください。

[設定管理] ページの [プローブ管理] タブで、[プローブの追加] をクリックし、次に [ホストプローブ] または [VPC プローブ] をクリックします。
お使いのプローブの種類のパラメーターを設定し、［OK］ をクリックします。

ホストプローブのパラメーター

パラメーター	説明	例
プローブ名	プローブの名前。	`host-probe-web-01`
管理ノード	このプローブに関連付ける管理ノード。ステップ 1 で作成したノードを選択します。	`honeypot-node-prod`
プロキシ IP アドレス	プロキシサーバーの IP アドレス。データセンターのプロキシサーバー経由でデプロイする場合にのみ必須です。それ以外の場合は空欄のままにします。	`192.168.1.10`
プローブをデプロイするホスト	プローブをデプロイするサーバー。	—
サービスの構成	ハニーポット名とリスナーポート。リスナーポートは、プローブがトラフィックをハニーポットにリダイレクトするために使用するホスト (ECS インスタンスなど) 上のポートです。このポートはプローブ専用に予約してください。他のサービスでは使用しないでください。	ポート `8080` → ハニーポット `web-honeypot-01`

VPC プローブのパラメーター

パラメーター	説明	例
プローブ名	プローブの名前。	`vpc-probe-prod-01`
管理ノード	このプローブに関連付ける管理ノード。ステップ 1 で作成したノードを選択します。	`honeypot-node-prod`
デプロイ先の VPC	プローブをデプロイする VPC。	—
サービスの構成	トラフィック転送用のハニーポット名とリスナーポート。	—

次のステップ

プローブがデプロイされると、ハニーポットは実際のサーバーから攻撃を逸らします。攻撃者はデコイとやり取りし、Security Center はそのアクティビティを記録してアラートを生成します。

これらのアラートを確認して対応するには、「アラートイベントの表示と対応」をご参照ください。