Alibaba Cloud 多層防御セキュリティの全体概要(テックコラム)

Alibaba Cloud(アリババクラウド)は、世界最大の取引を処理するEC基盤など、大規模・大容量の高負荷サービス基盤としては定評があります。こうした大規模かつ絶対に止めらないサービスとシステムの提供で培われた経験・知見が込めて提供されているプロダクト群としてセキュリティがあります。

Alibaba Cloudの実践的なセキュリティプロダクトは、セキュリティシステムの設計や導入において提供側のエンジニアや事業側で携わってきたセキュリティ管理者ほど目を見張るものがあり、導入顧客から高い評価の声を聞くことも珍しくありません。プロダクトの特徴として、

 ・多層防御(マルチレイヤーセキュリティ)
・マルチクラウド対応
・マネージドサービス

などいくつか挙げられます。今回のコラムでは、最もベーシックで多くのシステムで採用される「Alibaba Cloudの多層防御」の概要について紹介します。

 

概要

・Alibaba Cloudでは、主要な4つのプロダクトで多層防御を構成することができる
・入口対策:DDoS攻撃から防御する
Anti-DDoS、SQL インジェクション・クロスサイトスクリプティング等Web層の攻撃から防御するWAF、ネットワーク層で不正な通信を破棄し、侵入を検知・防御するCloud Firewall
・内部対策:マルウェア対策、Windows/Linuxへのパッチ配布、ベースラインチェックなど豊富な機能を提供する「
Security Center 

f:id:sbc_kitano:20200811193554j:plain

SBクラウド株式会社 技術部副部長

西澤 和正

大手SIerで防衛や大手金融セキュリティプロジェクトの現場での設計・構築経験を経て、官庁や自治体の仮想化基盤やセキュリティ基盤構築にプロジェクトマネージャやアーキテクトとして多数参画。オンプレ領域では仮想化エンジニアチームのグループ長として、プライベートクラウド、仮想デスクトップ、SDNによるネットワーク分離や自動防御システム等を提供してきた。2019年にSBクラウドに入社し、Alibaba Cloudを活用した、中国進出企業を支援するネットワーク活用、マルチクラウド対応のセキュリティ対策、データ分析基盤や仮想デスクトップ等のソリューション開発・提供をおこなっている。

 

多層防御セキュリティの概要


 

「サイバー攻撃の脅威はとどまるところを知りません。攻撃は巧妙化し、脅威に対する対策は重要性を増しています」

これは様々な機関が公開する白書や、あるいはセキュリティ製品ベンダの提案書の冒頭に出てくる文章です。日本国内企業もクラウドへのリフトとシフトが進み、プラットフォームは変革の時代となりました。そんな今も、セキュリティ対策の重要性は変わりませんが、対策にはクラウドにより変化した部分と変化していない部分があります。変化していない部分の筆頭は多層防御の重要性になります。

セキュリティ対策を多段で重ねることが多層防御です。古くは、一つのマルウェア対策製品では検知の抜け漏れが発生することから複数のベンダの製品を併用することが行われていました。デスクトップに導入するエンドポイント製品がA社であれば、メールサーバやプロキシサーバに導入するゲートウェイ対策製品はB社という組み合わせです。かつては二種類のベンダのプロダクトを採用することでマルウェアの検知率を高めてきました。

現在では、多層防御といえば、入口、内部、出口対策の三層のことを指すのが一般的です。入口対策はネットワークに脅威を侵入させない対策です。内部対策は脅威が侵入した場合に拡散を防ぎ、検知や対処をおこなう対策です。出口対策は、秘密情報の漏洩を検知し対処する対策です。複数の層で防御をおこない、さらに各層に複数のテクノロジーを利用することも一般的になっています。

f:id:sbc_kitano:20200814140327j:plain
〈入口、内部、出口対策の三層で防御をおこなう多層防御〉


この三つの層の中で、クラウドサービスとして最も一般的なユースケースと言えるWebサービスの提供において重要となるのが、入口対策と内部対策です。Alibaba Cloudでもこの層に主要な4つの下記のプロダクトがあります。

Anti-DDoS
Alibaba Cloud Web Application Firewall(WAF)
Cloud Firewall
Security Center

それぞれAnti-DDoS、WAFは名前の通りのサービスとなりますが、Cloud FirewallはInternet Firewall(外部ファイアウォール)、VPC Firewall(内部ファイアウォール)、IPS(侵入防御システム)です。Security Centerはマルウェア対策を含むEDR(エンドポイント検知対応)とSIEM(セキュリティ情報・イベント管理)を提供します。

インターネット上に存在する攻撃者に近い位置からAnti-DDoS、WAF、Cloud-Firewallが防御し、Security Centerが侵入した不審なファイルや通信の振る舞いを検知・対処、可視化します。Webサーバに攻撃者の通信が到達するまで4つのプロダクトが多層防御します。

 

f:id:sbc_kitano:20200811200407p:plain
〈様々なレイヤーのサイバー攻撃に対して、Alibaba Cloudのプロダクトで防御が可能〉

 

 

Alibaba Cloudの入口対策の概要


 

 DDoS攻撃は、標的のサービスやコンピュータ対して大量のトラフィックを送信することでサービス停止状態とする攻撃です。企業のビジネスや信用に打撃を与える目的で手法や規模が大規模化しながら、攻撃が繰り返されています。

Anti-DDoSは、DDoS攻撃で悪用されるHTTP GET FloodなどのWeb層、SYN Floodなどトランスポート層、IP層・TCP層の不要なパケットをフィルタします。

Alibaba Cloudでは標準で、Anti-DDoS Basicが有効化され、トラフィックのクリーニングとブラックホールが使用されます。不審なトラフィックはクリーニングセンタに転送され、正しいトラフィックのみがターゲットに転送されます。攻撃トラフィックが一定の閾値を超えるとブラックホールによって攻撃者の通信が制限されます。

より、高度な対策のために、Anti-DDoS Premiumが用意されています。IPアドレスを複数のホスト共有する仕組みであるエニーキャストモードとDDoS攻撃を近くのスクラビングセンタに転送し悪意のあるトラフィックをスクラビング(浄化)することで、大規模なDDoS攻撃に対応します。

WAFは、SQL インジェクション、クロスサイトスクリプティング(XSS)、トロイの木馬などの一般的なWeb攻撃を防御します。WAFはHTTPに特化したファイアウォールであるため、HTTP内のリクエストやパラメータまで検査します。Webサービスを提供する場合は必要なセキュリティ対策となります。もう一つのメリットは、WAFが仮想パッチとして機能することです。

 

f:id:sbc_kitano:20200811200659p:plain
〈WAFコンソール画面〉

 

多くのWebサービスは、サービスの継続性やアプリケーションの試験の必要性などの理由で、迅速なパッチ適用ができない場合があります。その際に、WAFで当該のCVE(共通脆弱性識別子)に対応する防御ルールを有効にし、マッチする攻撃者の通信を遮断することで、あたかもパッチを適用したかのような効果を疑似的に得ることができます。これが仮想パッチです。

オンプレミスでは、複数のプロトコルが利用されることが多いため、ファイアウォールの設置がWAFより優先される選択肢でした。クラウドでは公開サービスがWebのみである場合も多いため、WAFが第一選択肢となるシステム多くあります。

Cloud Firewallはインターネットとイントラネット(南北トラフィック)、およびイントラネット間のトラフィック(東西トラフィック)を制御するファイアウォールです。南北東西の呼び名は、ネットワーク図における上下、左右の概念に相当します。Alibaba Cloudのイントラネットとはクラウド内部のネットワークを指します。

メジャーなクラウドでは、簡易なファイアウォールともいえる送受信のIPアドレスやポート番号で通信を制御するセキュリティグループ機能が備わっており、Alibaba Cloudも同様です。ファイアウォールの必要性が少なくなったと言われることもありますが、実はCloud Firewallはセキュリティグループを拡張し、IPSを追加したプロダクトです。そのため、実際の通信制御の際に重複した無駄な処理がおこなれることはありません。

一般的なIPS製品と同様に、インターネットからイントラネット方向への異常なトラフィックを検知し、遮断します。また、Cloud FirewallもこのIPS機能を利用し、仮想パッチとして動作します。WAFとの違いは、Cloud FirewallはOSI参照モデルにおけるLayer 3~Layer 7通信の全般に対する制御を提供し、一方でHTTPには特化していません。

Webに対する防御や仮想パッチを利用したい場合はWAF、そのほかの通信に対する防御や仮想パッチを利用したい場合は、Cloud Firewallを使用します。システムによっては多層で組み合わせて利用することが推奨されます。

 

Alibaba Cloudの内部対策の概要


 

内部対策をになうSecurity CenterはEDRとSIEMを内蔵した統合セキュリティ管理システムです。EDRは脅威を検知し、追跡や対処をおこなうシステムです。SIEMはセキュリティステータスや脅威のアラートを可視化します。オンプレミスではSIEM製品を導入するのは、情報システム部門に技術力のある要員を抱えている大企業に限られていたと思います。Alibaba CloudはSIEM製品導入のコストと技術の両方の敷居を低くしています。

 

f:id:sbc_kitano:20200811200807p:plain
〈Security Centerのコンソール画面〉


Security Centerは非常に充実した内部対策機能を提供しますが、多くのシステムで
・マルウェア対策(悪意のあるプロセスの検知・ファイル隔離)
・Windows/Linuxへのパッチ配布
・ベースラインチェック(サーバ設定、アカウント・パスワード等のリスクチェック)
が利用されています。

Security Centerエージェント(Aegis Server Guard)が不審なファイルやプロセスに対処するマルウェア対策等の機能を提供しますが、オンプレミスではパターンファイルのアップデートやパッチ適用のダウンロード経路とその悪用が課題になるケースが多くありました。Security Centerはクラウドサービス純正のプロダクトであるため、ユーザがプロキシサーバやWebアクセス経路を用意する必要がなく、クラウドサービス側の内部ネットワークから更新が提供されます。これによりWebサービスを提供するために、出口方向の経路を開ける必要がなく、Webサービスのような公開系サービスでは出口対策を省略することが可能になります。

クライアント利用等のユースケースにおける出口対策は別途紹介したいと思います。また、Security Centerは多くの機能を提供するため、ユースケースごとにその特徴をあらためて紹介したいと思います。

このように、Alibaba Cloud では、多層防御を構成するプロダクトが提供され、ベーシックなWAF、IPSのみならず、仮想パッチ、EDRやSIEMのような先進的といえる充実したセキュリティ対策が可能になっています。

 

次回は、クラウドによって変化したセキュリティ対策にも着目したご紹介をしたいと思います。

 

〈関連記事〉

【テックコラム】Alibaba Cloudがデータ分析に強い理由

www.sbcloud.co.jp