Magic Firewall gets Smarter

วันนี้ เรารู้สึกตื่นเต้นมากที่จะประกาศชุดการอัปเดตสำหรับ Magic Firewall ที่เพิ่มคุณสมบัติความปลอดภัยและความสามารถในการมองเห็น ซึ่งเป็นกุญแจสำคัญในไฟร์วอลล์ระบบคลาวด์ที่ทันสมัย เพื่อปรับปรุงความปลอดภัย เราจึงเพิ่มการบูรณาการระบบป้องกันภัยคุกคามของ Intel และการปิดกั้นทางภูมิศาสตร์ ในส่วนของการมองเห็นภาพรวมนั้น เรากำลังเพิ่มการบันทึกแพ็กเก็ตที่เซิร์ฟเวอร์ Edge ซึ่งเป็นวิธีดูแพ็กเก็ตที่มาถึงเซิร์ฟเวอร์นี้ในเวลาที่เกือบจะเรียลไทม์

Magic Firewall เป็นไฟร์วอลล์ระดับเครือข่ายของเราที่ให้บริการผ่าน Cloudflare เพื่อรักษาความปลอดภัยให้กับองค์กรของคุณ Magic Firewall ครอบคลุมผู้ใช้ระยะไกล สำนักงานสาขา ศูนย์ข้อมูล และโครงสร้างพื้นฐานระบบคลาวด์ เหนือสิ่งอื่นใด ไฟร์วอลล์นี้ผสานรวมกับ Cloudflare ในระดับลึก เพื่อให้คุณเห็นภาพรวมแบบครบวงจรของทุกสิ่งที่เกิดขึ้นบนเครือข่ายของคุณได้

ประวัติโดยย่อของไฟร์วอลล์

เราได้พูดคุยหลายเรื่องเกี่ยวกับไฟร์วอลล์เมื่อวันจันทร์ที่ผ่านมา ซึ่งรวมถึงวิธีที่โซลูชันไฟร์วอลล์ของเราแตกต่างจากไฟร์วอลล์แบบเดิมมาก และช่วยทีมรักษาความปลอดภัยที่ต้องการการตรวจสอบที่ซับซ้อนที่ Application Layer เมื่อเราพูดถึง Application Layer เรากำลังอ้างถึงเลเยอร์ 7 ของแบบจำลอง OSI ซึ่งหมายความว่าเรากำลังใช้คุณสมบัติความปลอดภัยโดยใช้เซแมนติกของโปรโตคอล ตัวอย่างที่พบบ่อยที่สุดคือ HTTP ซึ่งเป็นโปรโตคอลที่คุณใช้เพื่อเข้าชมเว็บไซต์นี้ เรามี Gateway และ WAF เพื่อปกป้องคำขอ HTTP ขาเข้าและขาออก แต่ความสามารถของเลเยอร์ 3 และเลเยอร์ 4 ล่ะมีอะไรบ้าง เลเยอร์ 3 และ 4 หมายถึงระดับแพ็กเก็ตและระดับการเชื่อมต่อ คุณสมบัติด้านความปลอดภัยเหล่านี้ไม่ได้ใช้กับคำขอ HTTP แต่ใช้กับแพ็กเก็ต IP และ (ตัวอย่างเช่น) การเชื่อมต่อ TCP แทน ผู้คนจำนวนมากในองค์กร CIO ต้องการเพิ่มเลเยอร์การรักษาความปลอดภัยและการมองเห็นเพิ่มเติมโดยไม่ต้องใช้การถอดรหัสที่เลเยอร์ 7 เรารู้สึกตื่นเต้นที่จะได้เล่าถึงคุณสมบัติใหม่สองชุดที่จะทำให้ชีวิตของคุณง่ายขึ้น: การปิดกั้นทางภูมิศาสตร์และการผสานรวมข่าวกรองภัยคุกคามเพื่อปรับปรุงนโยบายการรักษาความปลอดภัย และการบันทึกแพ็กเก็ตเพื่อให้คุณมองเห็นภาพรวมได้ดีขึ้น

ข่าวกรองภัยคุกคามและรายการ IP

Magic Firewall นั้นทำงานได้เยี่ยมมากหากคุณรู้ว่าคุณต้องการอนุญาตอะไรและปิดกั้นอะไร คุณสามารถเพิ่มกฎที่ตรงกันกับต้นทางและปลายทางของ IP รวมถึงบิตสไลซ์เพื่อตรวจสอบเนื้อหาของแพ็กเก็ตต่าง ๆ อย่างไรก็ตาม มีหลายสถานการณ์ที่คุณไม่ทราบแน่ชัดว่าใครมาร้ายหรือมาดี: ที่อยู่ IP นี้ที่พยายามเข้าถึงเครือข่ายของฉันกลายเป็นผู้บริโภคปกติธรรมดาโดยสมบูรณ์ หรือที่อยู่ IP นี้เป็นส่วนหนึ่งของ botnet ที่พยายามโจมตีเครือข่ายของฉันรึเปล่านะ

นี่ก็เป็นเรื่องจริงเหมือนกัน เช่นเมื่อใดก็ตามที่มีคนในเครือข่ายพยายามสร้างการเชื่อมต่อกับอินเทอร์เน็ต คุณจะทราบได้อย่างไรว่าเป็นบล็อกหรือเว็บไซต์มัลแวร์ที่ปิดบังตัวเอง เห็นได้ชัดว่าคุณไม่ต้องการเล่นเกมวิ่งไล่จับและพยายามติดตามผู้ประสงค์ร้ายทุกคนบนอินเทอร์เน็ตด้วยตัวเอง สำหรับทีมรักษาความปลอดภัยส่วนใหญ่ นี่คือเรื่องเสียเวลาล้วน ๆ! คุณควรอาศัยบริษัทที่ช่ำชองเรื่องนี้ ให้มุ่งเน้นเรื่องนี้แทนตัวคุณจะดีกว่า

วันนี้ เราขอเปิดตัวการรองรับ Magic Firewall สำหรับฟีด Threat Intelligence ของเรา Cloudflare พบคำขอ HTTP ประมาณ 28 ล้านคำขอต่อวินาที และปิดกั้นภัยคุกคามทางไซเบอร์ 76 พันล้านครั้งในแต่ละวัน การที่เกือบ 20% ของเว็บไซต์ Alexa 10 ล้านอันดับแรกอยู่บน Cloudflare เราจึงเห็นภัยคุกคามใหม่ ๆ ปรากฏขึ้นทุกวัน เราใช้ข้อมูลนั้นเพื่อตรวจจับผู้ประสงค์ร้ายบนอินเทอร์เน็ตและเปลี่ยนเป็นรายการ IP ที่เป็นอันตรายที่รู้จัก และเราไม่ได้หยุดอยู่แค่นั้น: เรายังผสานรวมกับผู้จำหน่ายซึ่งเป็นบุคคลที่สามจำนวนมากเพื่อเพิ่มขอบข่ายความครอบคลุมของเรา

เพียงแค่ตั้งค่ากฎใน UI ตามปกติ ก็สามารถจับคู่กับรายการข่าวกรองภัยคุกคามได้:

Adding rules using threat intel feeds.

หมวดหมู่ฟีดข่าวกรองภัยคุกคามได้แก่ มัลแวร์ บริการพรางตัวตน และศูนย์สั่งการและควบคุมบ็อตเน็ต รายการมัลแวร์และบ็อตเน็ตครอบคลุมทรัพย์สินบนอินเทอร์เน็ตที่เผยแพร่มัลแวร์ และศูนย์สั่งการและควบคุมที่รู้จัก บริการพรางตัวตน (Anonymizer) มีรายชื่อพร็อกซีการส่งต่อที่รู้จัก ซึ่งอนุญาตให้ผู้โจมตีซ่อนที่อยู่ IP ของตนได้

นอกจากรายการที่มีการจัดการแล้ว คุณยังสามารถสร้างรายการของคุณเองได้อย่างยืดหยุ่น ไม่ว่าจะเป็นการเพิ่มชุด IP ที่เป็นอันตรายที่คุณรู้จักหรือเพื่อบริหารจัดการปลายทางเครือข่ายที่ดีที่คุณรู้จักได้ง่ายขึ้น ตัวอย่างเช่น คุณอาจต้องการสร้างรายการเซิร์ฟเวอร์ของคุณเองทั้งหมด ด้วยวิธีนี้ คุณสามารถปิดกั้นการรับส่งข้อมูลไปและจากกฎใด ๆ ได้อย่างง่ายดาย โดยไม่ต้องทำซ้ำรายการในแต่ละครั้ง

ปัญหาร้ายแรงอีกประการหนึ่งที่ลูกค้าส่วนใหญ่ของเราต้องเผชิญคือข้อจำกัดทางภูมิศาสตร์ ลูกค้าหลายรายถูกจำกัดให้เข้าถึงได้เฉพาะที่ที่พวกเขาได้รับอนุญาต (หรือต้องการ) ยอมรับการรับส่งข้อมูลไปและกลับ ความท้าทายที่นี่คือ ไม่มีข้อมูลใดที่เกี่ยวกับที่อยู่ IP ที่จะบอกคุณให้ทราบตำแหน่งทางภูมิศาสตร์ของที่อยู่ IP นั้น และที่แย่กว่านั้นคือ ที่อยู่ IP มักจะมีการเปลี่ยนมือ ย้ายจากประเทศหนึ่งไปอีกประเทศหนึ่ง

ณ วันนี้ คุณสามารถปิดกั้นหรืออนุญาตการรับส่งข้อมูลไปยังประเทศใดก็ได้ โดยไม่ต้องยุ่งยากในการจัดการที่ต้องมีการดูแลรายการด้วยตัวคุณเองควบคู่ไปด้วย Cloudflare จะเป็นฝ่ายอัปเดตรายชื่อประเทศทั้งหมด สิ่งที่คุณต้องทำคือตั้งค่ากฎที่ตรงกับประเทศ แล้วเราจะดูแลส่วนที่เหลือ

Rule matching on country

แพ็กเก็ตที่บันทึกไว้บนเซิร์ฟเวอร์ Edge

ประการสุดท้าย เรากำลังเปิดตัวคุณสมบัติที่ทรงพลังมาก: การบันทึกแพ็กเก็ตไว้ที่เซิร์ฟเวอร์ Edge การบันทึกแพ็กเก็ตคือไฟล์ pcap ที่มีแพ็กเก็ตทั้งหมดที่เห็นโดยกล่องเครือข่ายเฉพาะ (โดยปกติคือไฟร์วอลล์หรือเราเตอร์) ในช่วงเวลาที่กำหนด การบันทึกแพ็กเก็ตมีประโยชน์หากคุณต้องการดีบักเครือข่ายของคุณ: ทำไมผู้ใช้ของฉันไม่สามารถเชื่อมต่อกับเว็บไซต์แห่งหนึ่งได้ หรือคุณอาจต้องการมองเห็นภาพรวมของการโจมตี DDoS ได้ดีขึ้น เพื่อให้คุณสามารถตั้งกฎไฟร์วอลล์ที่ดีขึ้นได้

ก่อนหน้านี้ คุณจะต้องลงชื่อเข้าใช้เราเตอร์หรือไฟร์วอลล์และเริ่มต้นระบบ เช่น tcpdump คุณต้องตั้งค่าตัวกรองให้จับคู่กับบางแพ็กเก็ตเท่านั้น (ไฟล์การบันทึกแพ็กเก็ตอาจมีขนาดใหญ่ขึ้นมากอย่างรวดเร็ว) และเลือกไฟล์นั้น แต่จะเกิดอะไรขึ้นถ้าคุณต้องการให้ครอบคลุมทั่วทั้งเครือข่ายของคุณ: ในองค์กร สำนักงาน และสภาพแวดล้อมระบบคลาวด์ทั้งหมด คุณน่าจะมีผู้จำหน่ายไม่ซ้ำกันที่ดูแลสถานที่แต่ละแห่งเหล่านั้น และต้องหาวิธีรับการบันทึกแพ็กเก็ตจากสถานที่เหล่านั้นทั้งหมด ที่แย่กว่านั้นคือ บางสถานที่อาจไม่รองรับการบันทึกแพ็กเก็ตด้วยซ้ำ

ด้วย Magic Firewall การบันทึกแพ็กเก็ตทั่วทั้งเครือข่ายของคุณจะกลายเป็นเรื่องง่าย เนื่องจากคุณใช้งานไฟร์วอลล์เครือข่ายเดียวในฐานะบริการ คุณสามารถจับแพ็กเก็ตทั่วทั้งเครือข่ายได้ในคราวเดียว สิ่งนี้ทำให้คุณมองเห็นได้ทันทีว่า IP นั้นโต้ตอบกับเครือข่ายของคุณที่ใด โดยไม่คำนึงถึงตำแหน่งที่เกิดขึ้นจริงหรือตำแหน่งเสมือน คุณมีตัวเลือกในการรับการรับส่งข้อมูลเครือข่ายทั้งหมด (เตือนแล้วนะว่าอาจมีเยอะมาก!) หรือตั้งค่าตัวกรองเพื่อดึงส่วนย่อยเท่านั้น ตัวกรองสอดคล้องกับซินแท็กซ์ Wireshark เดียวกันกับที่กฎของ Magic Firewall ใช้:

(ip.src ใน $cf.anonymizer)

เราคิดว่าทั้งหมดนี้เป็นส่วนเพิ่มเติมที่น่าสนใจของ Magic Firewall ช่วยให้คุณได้รับข้อมูลพื้นฐานที่มีประสิทธิภาพไว้เพื่อควบคุมการรับส่งข้อมูลและมีเครื่องมือที่ช่วยให้มองเห็นสิ่งที่เกิดขึ้นจริงบนเครือข่ายของคุณ ข่าวกรองภัยคุกคาม การปิดกั้นทางภูมิศาสตร์ และรายการ IP พร้อมให้บริการแล้ววันนี้ ติดต่อทีมบัญชีของคุณเพื่อเปิดใช้งาน ส่วนการบันทึกแพ็คเก็ตจะเริ่มให้บริการได้ในช่วงปลายเดือนธันวาคม และถ้าคุณสนใจ โปรดติดต่อทีมบัญชีของคุณ!