新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

新世代の侵入検知:CloudflareのIDS機能に関する最新情報

2022-06-21

4分で読了
この投稿はEnglish한국어Español简体中文でも表示されます。

理想的な環境とは、侵入検知がデータセンター、クラウドプロパティ、支店など、ネットワーク全体に適用されている状態のことを指すのではないでしょうか。そしてトラフィックのパフォーマンスに影響を与えることもなく。さらに、容量の制約もなければ言うことはありません。本日、Cloudflareの侵入検知機能のプライベートベータ版を発表し、この機能を実現に一歩近づけることができ、大変嬉しく思っています。すべてのネットワークトラフィックをライブで監視し、従来のハードウェアアプローチの制約を受けることなく、as a Serviceで提供します。

Next generation intrusion detection: an update on Cloudflare’s IDS capabilities

Cloudflare Oneの一部であるCloudflare Network Servicesは、データセンター、クラウド、ハイブリッドなど、企業ネットワーク全体 をDDoS攻撃やその他の悪意のあるトラフィックから保護し、セキュアな接続をサポートします。 ファイアウォールルール を適用して、不要なトラフィックを排除したり、積極的なセキュリティモデルを適用したり、カスタムまたは管理しているIPのリストをファイアウォールポリシーに統合して、既知のマルウェア、ボット、匿名化装置に関連するトラフィックをブロックしたりすることが可能です。新しい侵入検知システム(IDS)機能は、トラフィック内の既知の脅威シグネチャを幅広くアクティブに監視することで、これらの重要なセキュリティ制御を拡張します。

IDSとは?

侵入検知システムは従来、スタンドアロンのアプライアンスとしてデプロイされていましたが、ハイエンドのファイアウォールの最新機能として組み込まれることが多くなっています。 IDS は、(ネットワークに侵入されたくないトラフィックをブロックすることに重点を置く)従来のファイアウォールのセキュリティ範囲を拡張し、より広範な脅威データベースに対してトラフィックを分析し、ネットワークトラフィック内の署名または「指紋」に基づいてランサムウェア、データの流出、ネットワークスキャンなど、高度な各種攻撃を検出することが可能です。また、多くの IDS は異常検知機能を備えており、ベースラインに対する活動を監視して、悪意のある活動を示す可能性のある、予期していないトラフィックパターンを特定します。(ネットワークファイアウォール機能の進化に興味がある場合は、詳細を説明したこちらの記事の参照をお勧めします)。

既存のIDSソリューションにおいて、ユーザーが直面している問題とは?

多くのお客様にIDSデプロイの際の出来事や、当社に解決を期待している問題点について聞き取り調査を行いました。お客様からは、他のハードウェアベースのセキュリティソリューションでよく耳にする、容量計画、ロケーション計画、トラフィックのバックホーリングに対する中央監視、インストール、メンテナンス、アップグレードのダウンタイム、大量のトラフィックによる輻輳や障害に対する脆弱性(例:DDoS攻撃)などの問題の過去事例を挙げていただきました。

セキュリティとネットワークトラフィックのパフォーマンスとの間で、トレードオフの判断を下すことが難しいということも、お客様のお話によく出てきました。あるネットワークエンジニアの方は次のようなお話をしてくださいました。

「セキュリティチームが私のことを快く思っていないのは承知していますが、それでもオンプレミスのファイアウォールでIDS機能を有効にすることはできません。私のチームが行ったテストでは、スループットがおよそ1/3に低下しています。現時点でセキュリティにおいてそうしたギャップがあることは理解していますが、理論上の悪質なトラフィックの捕捉を目的として、全体のネットワーク速度を落とすことが正しいとは思えないのです」。

最後に、パフォーマンスへの影響を考慮してIDSアプライアンスに投資することを選択したお客様からは、IDSアプライアンスをオンにした後、SOCに届くアラートのフィードをミュートするか無視することが多いというお話を聞かせていただきました。インターネット上のノイズが多く重要なシグナルを見逃す危険性があるため、IDSは、誤検知や対処できない通知を大量に発生させることになりかねません。この大量の通知が多忙なSOCチームに警告疲れをもたらしてしまい、ノイズに埋もれている潜在的な重要シグナルを黙過する事態につながる可能性があります。

こうした問題に対するCloudflareの取り組み

当社では、パフォーマンスボトルネックを発生させることなく、また、対応できないアラートでチームを疲弊させることなく、すべてのネットワークトラフィックを脅威から監視する、的確で効率的、かつ効果的な方法があると考えています。この1年半の間に皆様からいただいたご意見をもとに、さまざまな技術的アプローチを試し、このような厳しいトレードオフの判断に悩まされることがないようなソリューションを開発しました。

1つのインターフェイスですべてのトラフィックをカバー

CloudflareのIDS機能は、IPポートやプロトコルを問わず、お客様のネットワークトラフィック全体で作動します。これは、当社がお客様に代わってアドバタイズするお客様のIPに流れるか当社がお客様にリースするIPに流れるか、あるいはすぐにお客様のプライベートネットワーク内のトラフィックに流れるかを問いません。お客様はネットワーク全体の一貫した監視とセキュリティ管理を一箇所で実施することができます。

もうハードウェアに悩まされることはありません

他のセキュリティ機能と同様に、IDSもソフトウェアでゼロから構築し、Cloudflareのグローバルなエニーキャストネットワーク上のすべてのサーバーにデプロイしています。具体的には次のような内容となります。

  • **容量計画を立てる必要がなくなります:**Cloudflareのグローバルネットワーク容量が、そのままお客様のIDSの容量となります。その容量は現在142 Tbps、さらに増え続けています。

  • **ロケーション計画を立てる必要がなくなります:**地域の選択、一元化した拠点へのトラフィックのバックホールド、プライマリおよびバックアップアプライアンスのデプロイが不要になります。すべてのサーバーでIDSソフトウェアが作動し、トラフィックは発信元に最も近いネットワーク拠点に自動的に引き付けられるため、冗長性とフェイルオーバーを備えていることになります。

  • **メンテナンスによるダウンタイムはありません:**CloudflareのIDS機能の改善は、当社の他の製品と同様に、Cloudflareのグローバルネットワークで継続的にデプロイされています。

相互接続されたグローバルネットワークから得られる脅威インテリジェンス

攻撃を取り巻く環境は常に進化しており、それに対して先手が打てるIDSが必要です。CloudflareのIDSは、当社が一から書き上げメンテナンスを行うソフトウェアで提供されているため、Cloudflare上の2000万以上のインターネットプロパティからの脅威インテリジェンスを継続的にポリシーにフィードバックし、既知の攻撃パターンと新しい攻撃パターンの両方でお客様を保護します。

当社の脅威インテリジェンスは、 Suricata 脅威シグネチャなどのセキュリティコミュニティによって信頼のあるメンテナンスが行われているオープンソースのフィードと、 強い相互接続がされたネットワーク という当社独自の視点から収集した情報を組み合わせています。インターネットトラフィック全体の大部分はこのインテリジェンスが占めています。当社は、これらのインサイトを  Cloudflare Radar  などのツールを通じた一般公開だけではなく、IDSなどの当社のセキュリティツールにフィードバックすることで、新たな脅威からお客様をできるだけ早く保護できるように努めています。Cloudflareが新たに発表した 脅威インテリジェンスチーム は、これらの機能をさらに強化し、ネットワークデータの理解やインサイトの導出にさらなる専門性を発揮していきます。

楽しく始めてみませんか?

Advanced Magic Firewallをご利用のお客様は、プライベートベータ版でこれらの機能を今すぐ使用できます。詳細は担当者にお問い合わせください。もちろんすぐに使用開始することもできます。今回ご紹介した機能を開発するにあたり、ぜひ皆様のご意見をお聞かせください。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
Cloudflare One Weekゼロトラスト

Xでフォロー

Annika Garbers|@annikagarbers
Cloudflare|@cloudflare

関連ブログ投稿

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024年9月24日 13:00

A safer Internet with Cloudflare: free threat intelligence, analytics, and new threat detections

Today, we are taking some big steps forward in our mission to help build a better Internet. Cloudflare is giving everyone free access to 10+ different website and network security products and features....