This post is also available in: English (英語)
6月25、26日、アマゾン ウェブ サービス (AWS) のセキュリティイベントである “re:Inforce” が、米国・ボストンで初めて開催されました。このイベントでは、AWSの新機能である「VPC トラフィックミラーリング」が発表されています。この機能により、仮想ネットワークアーキテクチャの大幅な設計変更の必要なく、手間をかけずにAWS環境のネットワークの可視化ができるようになります。
この発表を受けPalo Alto Networksは、仮想化次世代ファイアウォールVM-SeriesをVPCトラフィックミラーリング機能と統合しました。VM-Seriesは、アプリケーションとデータの保護のための業界をリードする仮想化ファイアウォールであり、アプリケーションレベルでの優れた可視化や正確な制御、脅威防御を実現する先進的なセキュリティ機能を提供しています。
VM-Seriesは2014年からAWSをサポートしており(VM-Series on AWS)、クラウド上で実行されるアプリケーションのワークロードに対してインライン脅威防御機能を提供しています。
Palo Alto Networksのプロダクトマネジメント担当ヴァイスプレジデントのMukesh Guptaは「企業は、デプロイメントの柔軟性を損なわず選択肢も制限されない、一貫したセキュリティをクラウドに求めています。インライン脅威防御機能と併せて新たに発表されたVPCトラフィックミラーリング機能とVM-Seriesを連携させることで、ファイアウォールをアウトオブバウンド (OOB) 方式でデプロイし、AWS上でアプリケーションの可視化と高度な脅威検出を行うことができるようになります」と述べています。
VM-Series on AWSをアウトオブバウンド方式でデプロイすることで、AWS上で2つの重要なセキュリティ効果が得られるようになります。
・ミラーリングされたトラフィックの検査による、アプリケーショントラフィックの詳細な可視化とネットワーク経由の脅威の検知
・Palo Alto NetworksのCortexをはじめとするAIベースのアプローチを活用した、高度な攻撃に対する迅速な検知と対処
図1: VPCトラフィックミラーリング機能とVM-Seriesの連携
アプリケーション可視化と脅威検知
VM-Series on AWSは、AWS上のVPCトラフィックミラーリング機能を通じて利用可能なパケットデータを分析、フィルタリング、および処理し、コンテキストの豊富なアプリケーション、コンテンツ、脅威情報を提供することができます。
追加処理のためにAWSからデータを抽出する必要がなくなることで、コストを削減し、ネットワークトラフィックに関する深いインサイトが得られます。従来よりも詳細な調査に基づいて、次のような幅広いセキュリティ問題に関するアラートを有効活用できます。
- 重要度の高いセキュリティアラート:たとえば、AWS上で動作しているApache StrutsベースのWebサーバーに対するCVE-2017-5638へのエクスプロイト攻撃ような、既知のエクスプロイトに関する攻撃のアラート。VM-Seriesは主に、侵入検知システム (IDS) として機能します。
- 不適切、悪意ある送信先、コマンドアンドコントロールシステムへのトラフィック:送信元 / 宛先が不適切または悪意あるものか、地理的にブロックされるべきか、あるいはビットコイントラフィックや既知コマンドアンドコントロール (C2) ドメインへのSSHセッションが存在するかなどを検出します。
(ログ上での) 可視化と検出に基づきイベントをフィルタリングし、HTTP/HTTPSを使用したアクション指向型のログ転送を使用して修復を発動できるアクションやアラートを有効化きます。これにより、サービスデスクシステムやPalo Alto Networks のDemistoのようなSOARツールでのチケットの作成するWebhookを提供したり、インスタンスのシャットダウンやセキュリティグループのロックダウン (通信拒否) によって隔離するAWS Lambda関数を起動したりすることができます。
高度な攻撃に対する迅速な検知とレスポンス
仮想化次世代ファイアウォールVM-Seriesは、Cortex Data LakeなどPalo Alto Networksのクラウドサービスのストレージ用に、AWSでミラーリングされたネットワークトラフィックからパケットデータをコンテキスト対応ネットワークアクティビティ情報に変換する拡張アプリケーションロギングをサポートします。Palo Alto Networks のCortex XDRのようなセキュリティアプリケーションが、解析や機械学習によりストレージの膨大なデータを分析し、より正確で迅速なステルス攻撃の検知やセキュリティ調査を実現します。また、識別された脅威は、Demistoやその他SOARツールによる処置の自動化により軽減できます。
図2: Cortexによる迅速な検知と処置