Magic Firewall gets Smarter

本日、Magic Firewallの一連のアップデートを発表できることを大変嬉しく思います。最新のクラウドファイアウォールにおいて鍵となるセキュリティと可視性の機能を追加しました。セキュリティ強化のために、当社は脅威インテリジェンス統合機能とジオブロッキング機能を追加します。可視性向上のためには、エッジでのパケットキャプチャ機能を追加します。パケットがエッジに到達するのをほぼリアルタイムで把握する機能です。

Magic Firewallは、Cloudflareを通して提供されるネットワークレベルのファイアウォールで、お客様の会社を保護します。Magic Firewallは、リモートユーザー、支社オフィス、データセンター、クラウドインフラストラクチャを保護します。その上、Magic FirewallはCloudflareと深く統合されており、ネットワーク上で起こっているすべてのことをワンストップで概観することができます。

ファイアウォールの略史

ファイアウォールについて月曜日にたくさんお話しましたが、その中には、当社のFirewall-as-a-serviceソリューションが従来のファイアウォールとは全く異なり、アプリケーション層での高度な検査を望むセキュリティチームを支援するものであることも含まれています。アプリケーション層というのは、OSIレイヤー7を指します。これは、プロトコルのセマンティックスを使用してセキュリティ機能を適用していることを意味します。最も一般的な例は、あなたがこのWebサイトにアクセスするために使用しているプロトコルであるHTTPです。HTTPのインバウンドおよびアウトバウンドのリクエストを保護するために、ゲートウェイとWAFがありますが、レイヤー3とレイヤー4の機能についてはどうでしょうか。レイヤー3とレイヤー4とは、パケット接続のレベルを指します。これらのセキュリティ機能はHTTPリクエストには適用されず、代わりにIPパケットや(例えば)TCP接続に適用されます。CIO組織の多くのメンバーは、レイヤー7で復号化の手段を取ることなくセキュリティと可視性のレイヤーを追加したいと考えています。お客様の生活をより快適にする2つの新機能、すなわち、セキュリティ体制を向上させるジオブロッキングと脅威インテリジェンス統合および可視性を向上させるパケットキャプチャについてご説明できることを、実に嬉しく思います。

脅威インテリジェンスとIPリスト

Magic Firewallは、何を許可し、何をブロックしたいかが明確に分かっている場合に最適です。IPの送信元と送信先で正確に一致するルールを設定したり、様々なパケットの中身を確認するためのビットスライシングも可能です。しかし、誰が悪意のあるアクターで良性のアクターなのかがはっきりしない状況は多々あります。私のネットワークにアクセスしようとしているこのIPアドレスは、完全に正常なコンシューマーでしょうか、それとも私のネットワークを攻撃しようとしているボットネットの一部なのでしょうか。

他の方法についても同じことがいえます。ネットワーク内の誰かがインターネットに接続を構築しようとするとき、それが無名のブログなのかマルウェアのWebサイトなのか、どうやって判断するのでしょうか。モグラたたきをしてインターネット上のすべての悪意のあるアクターを自分自身で追跡したくないことは明らかです。ほとんどのセキュリティチームにとって、それは時間の無駄以外の何物でもありません!それよりも、この分野に注力することをビジネスにしている会社に頼ったほうがいいのです。

本日、当社は社内の脅威インテリジェンスフィードのMagic Firewallサポートを発表します。Cloudflareは毎秒約2,800万件のHTTPリクエストを見ており、毎日760億件のサイバー脅威をブロックしています。Cloudflareの上位1,000万件のAlexa Webサイトの約20%で、毎日多くの新しい脅威が出現していることがわかります。当社はそのデータを使ってインターネット上の悪意のあるアクターを検出し、既知の悪意のあるIPのリストに変換しています。また、それだけにとどまらず、多くのサードパーティベンダーと統合して、カバー範囲を拡大しています。

脅威インテリジェンスリストでマッチングするには、通常通りUIでルールを設定するだけです。

Adding rules using threat intel feeds.

脅威インテリジェンスフィードのカテゴリには、マルウェア、アノニマイザー、ボットネットのコマンド&コントロールセンターが含まれます。マルウェアとボットネットのリストには、マルウェアを拡散しているインターネット上のプロパティと、既知のコマンド&コントロールセンターが含まれています。アノニマイザーには、攻撃者がIPアドレスを隠すことができる既知のフォワードプロキシのリストが含まれています。

マネージドリストに加え、独自のリストを作成することも可能で、既知の悪意のあるIPを追加したり、既知の正常なネットワークエンドポイントの管理を容易にしたりすることができます。例えば、自社で所有するすべてのサーバーのリストを作成することができます。そうすれば、毎回リストを複製することなく、どのルールからでも簡単にそのサーバーへのトラフィックとそのサーバーからのトラフィックをブロックすることができます。

また、特に厄介な問題として、多くのお客様が抱えているのが、地域制限です。多くのお客様は、どこから、あるいはどこへトラフィックを受け入れることができるのか(あるいは受け入れたいのか)制限されています。ここで問題となるのは、IPアドレスからはそのジオロケーションについて何も分からないということです。さらに悪いことに、IPアドレスの所有者は定期的に変更され、ある国から別の国へと移動します。

今日から、自分でリストを管理する手間をかけずに、あらゆる国へのトラフィックを簡単にブロックまたは許可できるようになりました。国別リストはCloudflareによって完全に最新の状態に保たれ、お客様は国にマッチするルールを設定するだけで、あとはこちらが管理します。

Rule matching on country

エッジでのパケットキャプチャ

最後に、非常に強力な機能として、エッジでのパケットキャプチャをリリースします。パケットキャプチャとは、pcapファイルで、特定のネットワークボックス(通常はファイアウォールやルーター)が特定の時間枠で見たすべてのパケットを含んでいます。パケットキャプチャは、ネットワークをデバッグするときに便利です:自分のユーザーが特定のWebサイトに接続できないのはなぜでしょう。また、DDoS攻撃をの可視性を高め、より適切なファイアウォールルールを設置することができます。

従来は、ルータやファイアウォールにログインして、tcpdumpのようなものを立ち上げていました。特定のパケットにのみマッチするようにフィルターを設定し(パケットキャプチャのファイルはすぐにとても大きくなってしまいます)、ファイルを取得します。しかし、オンプレミス、オフィスおよびクラウド環境など、ネットワーク全体をカバーしたい場合はどうなるのでしょうか。それぞれの拠点に異なるベンダーが存在する可能性が高く、すべてのベンダーからパケットキャプチャを取得する方法を考えなければなりません。さらに悪いことに、中にはパケットキャプチャの取得をサポートしていないベンダーもあるかもしれません。

Magic Firewallを使うと、ネットワーク全体のパケットキャプチャの取得がシンプルになります。単一のネットワークFirewall-as-a-serviceを実行するので、ネットワーク全体のパケットを一度で取得することができます。これにより、特定のIPが物理的または仮想的なロケーションに関係なく、どこでネットワークと相互作用しているか即座に可視化することができます。すべてのネットワークトラフィックを取得するオプション(警告、それはたくさんあるかもしれません!)またはサブセットのみを取得するフィルターを設定することができます。フィルターはMagic Firewallのルールが使用するのと同じWireshark構文に従います。

(ip.src in $cf.anonymizer)

Magic Firewallに追加されたこれらの機能は、トラフィックを監視するための強力なプリミティブと、ネットワークで実際に何が起こっているかを可視化するためのツールを提供する素晴らしいものだと考えています。脅威インテリジェンス、ジオブロッキングおよびIPリストはすべて本日から利用可能です—アカウントチームに連絡してアクティベートしてください。パケットキャプチャは、12月下旬に早期アクセス開始予定です。同様にご興味のある方は、アカウントチームまでご連絡ください!