本日、Cloudflare 侵入検出システムの計画について発表できることをうれしく思います。この新製品は、ネットワークを監視し、攻撃が疑われるときに警告するものです。Cloudflare Oneと深く統合させることで、Cloudflare 侵入検出システムは、お客様のグローバルネットワーク全体を見渡すことができ、それがネットワークの外部または内部に起因するものかに関わらず、すべてのトラフィックの不正行為を検査します。
苦労なくネットワークを分析する
企業はファイアウォールルールを構築して、ネットワークを外部および内部の脅威から保護します。悪質な行為者がネットワークを攻撃しようとすると、ファイアウォールは、攻撃がルールパターンと一致するかどうかを確認します。一致する場合は、ファイアウォールが介入して攻撃をブロックします。
チームでは、かつて物理的なファイアウォールアプライアンス(多くの場合、メーカーやモデルが異なり、物理的な場所に展開されます)を使って、これらのルールを構成していました。昨日、当社はMagic Firewall (Cloudflareのネットワークレベルのファイアウォール)を発表し、このファイアウォールを、世界中のデータセンターで提供しています。チームは一度ファイアウォールルールを作成すれば、 Cloudflare にデプロイできます。オンプレミスのハードウェアを必要とせず、当社のグローバルネットワークが、オフィスとデータセンターを保護します。
攻撃の発生源がはっきり分かるのが一番です。しかし、それほどの確信が持てない場合、その種の攻撃を当て推量で見つけるには、コストがかかります。高度な攻撃者は、ネットワークの防御をつついてみて、どんなルールが存在するか、または存在しないかを判断できます。そして、その情報を利用して、より静かな攻撃を開始することができます。さらに質が悪ければ、従業員の安全性を損ない、内部から攻撃することもあります。
ゼロトラストウィークの最後に、もう一つお知らせできることをうれしく思います。Cloudflare侵入検出システム(IDS)は、ネットワーク全体を同時に分析し、ルールでは検出できない可能性があるイベントを警告するソリューションです。
Cloudflare IDSはCloudflare Oneの重要な構成要素です。お使いのデバイスをCloudflareに接続するWARP、そしてCloudflareにオフィスやデータセンターを接続するMagic Transitを使用すると、Cloudflare IDSは両者の動向を把握できるため、お客様は同時にすべてのトラフィックを検査し、評価することができるようになります。これにより、ネットワーク内で何が起こっているかや、データ漏えいの疑いがある箇所を 1 つの画面で表示することができます。Cloudflare IDSはまた、脅威と攻撃を特定する機能も常に進化を続けています。登録すれば、アラートを受信できるようになり、クリックひとつで、過去の静的ルールに侵入しようとしたものを素早く簡単にブロックできます。最も重要なのは、Cloudflareが他の地域や業界での攻撃から収集されたインテリジェンスにより、チームに影響を与えるイベントにフラグを立て、情報を共有してくれることです。
どのように機能する?
漏えいを想定しておく
レガシーセキュリティモデルでは、ネットワーク内のどの接続も暗黙的に信頼していました。それが、同モデルが内部犯によるデータ漏えいや攻撃に弱い原因でした。ゼロトラストの概念は、同モデルの発想を逆手に取り、すべての接続が危険であると想定します。確実に漏えいが起きているという形跡を待つのではなく、すでに漏えいが起こったものとして想定しておくのです。
ゼロトラストモデルを効果的に実装するには、次の2つの核コンポーネントが必要です。
ネットワーク全体を見渡す包括的な視野(ネットワークは、静的ルールが見逃した可能性のある問題を検出するために絶えず分析されています)。
その分析を担当する侵入検出システム (購入品または自社で構築した製品)。
Cloudflare IDSが効力を発揮するその原動力となる一因は、Cloudflare Oneとの深い統合にあります。WARPとMagic Transitは1番目のコンポーネントを提供します。これにより、ネットワーク全体とすべてのデバイスをCloudflareに接続でき、すべてのパケットと接続の全体像がわかるようになります。
Cloudflare IDSは、トラフィックとトラフィックの内容を積極的に調べることで、ネットワーク内のどこから侵入した攻撃の検出にも役立ちます。Cloudflare IDSは2つの方法で稼働します:トラフィックの形とトラフィックの捜査です。ネットワーク上のトラフィックの動きを見ると、通常はどのような動き方をするのかがわかります。たとえば、あるユーザーは毎日単一のシステムにログインするだけで、特定のアプリケーションにのみアクセスする、などです。通常は、誰かが一度に多くのシステムにログインしたり、ネットワークをポートスキャンしたりすることはありません。これは悪い意図がある証拠です。
当社が採用する侵入検出のもう1つの形式は、トラフィックの点検です。ネットワークを流れるトラフィックの内部を調べて、標的を絞った攻撃を行っている人がいるかを調べます。この種の攻撃は、実際には通常のトラフィックのように見えるため、従来の方法では検出できません。内部の点検だけが、行為者が悪意のあることを試みていることを確かめる唯一の手段です。
群れの特権
攻撃者はパターンに従う傾向があります。ある企業を攻撃しようとする悪い行為者は、その同じ攻撃を他の場所でも繰り返します。残念ながら、このような攻撃は増加傾向にあり、Fancy Bearの一連のDDoS攻撃のような攻撃が、企業から別の企業に移動し、同じ戦術を繰り返すのを、目にしてきました。
一緒にいる方がより安全だと当社は考えます。Cloudflare IDSは、当社ネットワークとお客様の全ネットワークに対する攻撃から学習し、ローンチされた新しい攻撃のタイプをコンスタントに特定します。その後、学んだ教訓を生かし、Cloudflareや他のお客様を安全に保つことができます。プラットフォームは、外部の脅威フィードも組み込みますが、お客様ご自身のものを持ち込むこともできます。
CPUの負荷を軽減
周知の通りIDSソリューションはCPUに多大な負荷がかかります。(社内で構築されたもの、購入されたものに関わらず、)独自のIDSソリューションを実行中のお客様からは、この点に関して常に不満の声が寄せられています。IDSソリューションは、メモリに多くのステートを保持する必要があり、効果的かつ正確に動作するために多くの計算を必要とするのです。
Cloudflare IDSをご使用いただくと、その負担を当社ネットワークがお引き受けします。Cloudflareは無限に拡張できるよう、ゼロから構築されました。すべてのエッジデータセンターではまったく同じソフトウェアが実行されるため、ワークロードを効率的かつ大規模に処理できます。CloudflareでIDSを実行することで、レガシーソリューションによる計算リソースの負荷を取り除き、容量について心配しなくてもよくなります。
あきれるほど簡単
チームが Cloudflare IDS をデプロイするには、たった1 つのボタンをクリックするだけです。当社がMagic Transit トラフィックのパーターンと、Magic Firewall イベントの分析を開始し、脅威フィードに照らし合わせて確認します。
疑わしいことが起きていると判断すると、チームに知らせるためにアラートが送信されます。その後、セキュリティチームは試行の確認を開始し、データを掘り下げて、何が起こったかを判断します。攻撃の種類と攻撃の発生場所について、さらに多くのインサイトをダッシュボード上で得ることができます。修復はワンクリックで行えます。ルールを設定してグローバルCloudflareネットワークに適応させるだけです。攻撃が起こっているトラック内で攻撃を食い止めます。
次は何が起きるでしょう?
Cloudflare IDSのローンチは、Magic Firewallの一般提供の発表後になる予定です。 IDSの早期採用をご希望される場合は、アカウントチームに詳細をお問い合わせください。