クラウドハニーポット機能は、お客様のクラウド環境内外における攻撃を検出し、攻撃元をトレースします。Security Center で保護された仮想プライベートクラウド(VPC)およびサーバーにハニーポットをデプロイすることで、攻撃者が実際の資産に到達する前に攻撃を遮断できます。
ハニーポットへの接続試行はすべて不審と見なされ、アラートがトリガーされます。ハニーポットは正当なビジネス機能を提供しないため、そこに流れるすべてのトラフィックは攻撃者によるものと判断されます。
ハニーポットはホスト上のポートを占有します。本番ワークロードとのポート競合を回避するため、ホストのポート割り当てを慎重に行う必要があります。
仕組み
従来のセキュリティ防御は既知の攻撃シグネチャに依存しており、ゼロデイ脆弱性を悪用する高度な持続的脅威(APT)攻撃に対しては無効です。サーバーが侵害された場合、セキュリティチームは事後対応しかできません。
クラウドハニーポットは、能動的なアプローチを採用します。すなわち、実際のビジネス資産に見えるが本番運用目的を持たないシステムをデプロイし、攻撃者を誘導します。これにより、攻撃者の動作を観察し、インテリジェンスを収集し、実際の防御体制を強化する時間を確保できます。
クラウドハニーポットでは、トラフィックをハニーポットへリダイレクトするための 2 種類のプローブを使用します。
VPC プローブ — お客様の VPC 内で到達不能な IP アドレス宛てのトラフィックを自動的にハニーポットへリダイレクトします。VPC プローブはホストまたはネットワークリソースを消費しません。
ホストプローブ — お客様のワークロードが実行されるホストにプローブをインストールします。このプローブは、異常なポートトラフィックのみをハニーポットクラスターへ転送し、ホストへの影響は最小限であり、アプリケーションには一切影響を与えません。
VPC プローブとホストプローブを併用することで、多数の IP アドレスを低コストで保護できます。
基本概念
| 概念 | 説明 |
|---|---|
| VPC プローブ | クラウドネイティブなコンポーネントで、到達不能な VPC の IP アドレス宛てのトラフィックをハニーポットへリダイレクトします。Security Center およびネットワークチームが開発しました。 |
| ホストプローブ | 本番ホストにインストールされる軽量エージェントです。ホストの安定性やアプリケーションのパフォーマンスに影響を与えることなく、異常なトラフィックをハニーポットクラスターへ転送します。一般的なハードウェアおよびオペレーティングシステムに対応しています。 |
| ローアイントラクションハニーポット | すべてのポートで接続を待機し、接続試行をログ記録するシミュレートされたサービスです。忠実度は低いものの、デプロイが迅速かつスケーラブルです。低コストで広範囲のカバーを実現したい場合に選択してください。 |
| ハイアイントラクションハニーポット | 脆弱なホストまたはサービスを完全にエミュレートしたものです。Web、データベース、システムサービス、特殊な欠陥、およびカスタムハニーポットの各タイプをサポートします。忠実度が高く、攻撃者の動作に関するより豊富な情報を提供します。攻撃者の手法について詳細なインテリジェンスが必要な場合に選択してください。 |
| ハニーポットクラスター | 内蔵ハニーポットおよびカスタムハニーポットをまとめてデプロイしたグループです。クラスターを構成することで、欺瞞のカバー率が向上し、攻撃者がハニーポットと実際の資産を区別することが困難になります。 |
| カスタムハニーポット | お客様の特定のビジネス環境をシミュレートするために構築するコンテナベースのハニーポットです。高度なビジネスシミュレーションをサポートします。 |
| Docker エスケープ検出 | すべてのハニーポットクラスターにデフォルトで組み込まれています。攻撃者がコンテナから脱出しようとする試行を検出します。 |
| 管理ノード | ホストプローブのトラフィック転送ルールを制御します。管理ノードが侵害された場合でも、攻撃者はそのノードを介して基盤となるホストを制御することはできません。 |
サポート対象環境
| 環境 | プローブタイプ | 備考 |
|---|---|---|
| Alibaba Cloud | VPC プローブ | 到達不能な VPC の IP アドレス宛てのトラフィックをハニーポットへリダイレクトします。低コストで高カバー率を実現します。 |
| サードパーティクラウド | ホストプローブ | 異常なトラフィックをバックエンドのハニーポットクラスターへリダイレクトします。 |
| データセンター | ホストプローブ | 異常なトラフィックをバックエンドのハニーポットクラスターへリダイレクトします。 |
潜在的な影響
パフォーマンス
| コンポーネント | 影響 |
|---|---|
| VPC プローブ | ホストおよびネットワークリソースを一切消費しません |
| ホストプローブ | 異常なポートトラフィックのみを転送するため、システムリソース使用量は最小限です |
安定性
| コンポーネント | 影響 |
|---|---|
| VPC プローブ | スキャントラフィックとのインタラクションをシミュレートします。スキャンを開始する資産検出ソフトウェアをご利用の場合、誤検知が報告される可能性があります。 |
| ホストプローブ | ホスト上のポートを占有します。デプロイ前にホストのポート割り当てを慎重に行ってください。 |
セキュリティ
ハニーポットとプローブの間にはネットワーク隔離が適用されます。ハニーポットクラスターが侵害された場合でも、ハニーポットからプローブへの通信経路を通じてお客様の本番ネットワークに到達することはできません。
各ユーザーには、Docker エスケープ検出がデフォルトで有効化された独自のハニーポットクラスターが割り当てられます。
制限事項
ホストプローブ
ホストプローブは、Security Center コンソールの [資産] モジュールに表示され、Security Center によって保護されているサーバーにのみインストールできます。
VPC プローブ
VPC プローブは、以下のリージョンでご利用いただけます。
中国
中国 (青島)
中国 (北京)
中国 (張家口)
中国 (フフホト)
中国 (ウランチャブ)
中国 (杭州)
中国 (上海)
中国 (深セン)
中国 (河源)
中国 (広州)
中国 (成都)
中国 (香港)
中国以外
日本 (東京)
シンガポール
インドネシア (ジャカルタ)
米国 (バージニア)
米国 (シリコンバレー)
イギリス (ロンドン)
UAE (ドバイ)
ドイツ (フランクフルト)