Cloud One Network Securityのフィルタリング機能を利用して不必要なトラフィックを制御してみた (フィルタリング設定編)

2023.02.16

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コンサル部@大阪オフィスのTodaです。

Cloud One Network Securityにはトラフィック制御をするため3点のフィルタリング機能が用意されています。 今回は、位置情報とドメイン、侵入防止フィルタリングを利用してトラフィックの制御を試してみます。
前回、初期設定をした時の手順は下記になります。

Cloud One Network Security (C1NS) とは?

Cloud One Network Securityはクラウド環境にある仮想マシンやアプリケーションなどをネットワークで保護するセキュリティサービスになります。
ネットワーク経路上で通信を監視し、仮想マシンやアプリケーションの脆弱性などを悪用する攻撃を検知して通知と遮断をおこないます。

■ Trend Micro Cloud OneNetwork Security
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-network-security.html

C1NSにはトラフィック制御として下記3点のフィルタリング設定が用意されています。

  • 位置情報フィルタリング
  • ドメインフィルタリング
  • 侵入防止フィルタリング

位置情報フィルタリング

機能について

位置情報フィルタリングは特定の国や地域と保護対象のネットワーク間のトラフィックを制御いたします。
国または地域を選択して通信の許可・遮断をおこないます。
フロー制御は「ブロック+通知」固定になっており、「通知のみ」にする事はできません。

■ Geolocation filtering
https://cloudone.trendmicro.com/docs/network-security/Geo_Location_filtering/

設定してみる

C1NSのコンソールに移動をおこない、左メニューから[POLICY] > [Geolocation Filtering]をクリックします。

位置情報フィルタリングを設定してみる1

初期はフィルタ構成がないため[Configure Geolocation Filtering]をクリックします。

位置情報フィルタリングを設定してみる2

フィルタを設定する国・地域を設定する画面が表示されます。
フローコントロール設定は遮断(Block)固定のためフィルタが設定された地域は「遮断」される設定になります。

位置情報フィルタリングを設定してみる3

設定後は、画面下の[Save]をクリックして登録を完了します。
設定をしたポリシーは配布によりアプライアンスへの反映をおこないます。
左メニューの[NETWORK] > [Hosted Infrastructure]をクリックして一覧に移動をおこない、上部に表示される[Distribute Policy]をクリックしてポリシーの配布処理をおこないます。
※AWS環境にアプライアンスを構築している場合はポリシーの配布方法が変わる場合がございます。詳細はC1NSのドキュメントを参照ください。

位置情報フィルタリングを設定してみる4

位置情報フィルタリングを設定してみる5

配布は数分かかる場合がございます。
上記で、位置情報フィルタリングの設定は完了になります。

配布後は実際に位置情報フィルタリングが掛かっているかを確認します。
今回、私の方では日本のみ許可をおこない海外リージョンのEC2から通信をして遮断されるかを確認しました。

ドメインフィルタリング

機能について

ドメインフィルタリングは保護ネットワーク内に存在するインスタンスからインターネットへの通信(エグレス)に対してトラフィックを制御いたします。
リストに設定したFQDN以外への通信を遮断するように設定されます。
例外として「.amazonaws.com」と「.trendmicro.com」への通信はリスト設定に関係なく許可されます。

■ Domain filtering
https://cloudone.trendmicro.com/docs/network-security/Domain_Filtering/

設定してみる

C1NSのコンソールに移動をおこない、左メニューから[POLICY] > [Domain Filtering] > [Configuration]をクリックします。

ドメインフィルタリングを設定してみる1

ドメインフィルタリングは有効化をすることで除外リストに設定したFQDN以外の通信を遮断します。
有効化をする前に、通信を継続したいFQDNを登録します。
画面内の[Add entry]をクリックします。

ドメインフィルタリングを設定してみる2

フィルタを除外するFQDNを登録します。
登録は「example.com」または「xxxx.example.com」、任意文字列の場合は「*.example.com」にてワイルドカード指定ができます。
通信ポートを指定する場合はオプションのPort指定に番号を入力します。

ドメインフィルタリングを設定してみる3

除外リストが準備できたら、リスト上部の[General]をクリックしてドメインフィルタリングの設定に戻ります。

ドメインフィルタリングを設定してみる4

画面内のConfiguration Stateを「Enabled」に変更して画面下の「Save」をクリックします。

ドメインフィルタリングを設定してみる5

設定をしたポリシーは配布によりアプライアンスへの反映をおこないます。
左メニューの[NETWORK] > [Hosted Infrastructure]をクリックして一覧に移動をおこない、上部に表示される[Distribute Policy]をクリックしてポリシーの配布処理をおこないます。
※AWS環境にアプライアンスを構築している場合はポリシーの配布方法が変わる場合がございます。詳細はC1NSのドキュメントを参照ください。

ドメインフィルタリングを設定してみる6

ドメインフィルタリングを設定してみる7

配布は数分かかる場合がございます。
上記で、ドメインフィルタリングの設定は完了になります。

配布後は実際にドメインフィルタリングが掛かっているかを確認します。
今回、私の方では保護ネットワーク内のインスタンスからwgetコマンドにて除外リストのFQDNとそうでないFQDNでデータ取得出来るかで確認をいたしました。

侵入防止フィルタリング

機能について

侵入防止フィルタリングはソフトウェアの脆弱性に対してのトラフィックを制御いたします。
フィルタリング機能は初期にて利用可能の状態になっており2023/02時点で約8,000点のルールが有効化されています。
ルールの数は有効無効含め23,486点になります。

■ Filters
https://cloudone.trendmicro.com/docs/network-security/Filters_overview/

設定してみる

C1NSのコンソールに移動をおこない、左メニューから[POLICY] > [Intrusion Prevention Filtering]をクリックします。

侵入防止フィルタリングを設定してみる1

フィルタリングのルールが一覧で表示されます。
ルールをクリックする事で詳細の内容を確認する事が可能です。

侵入防止フィルタリングを設定してみる2

今回は暗号化方式「SSL 3.0」の通信を遮断するルールを設定してみます。
検索欄に「SSLv3」と入力して検索をおこない表示される13895: SSL: SSLv3 Negotiation (ATT&CK T1032)のギアマークをクリックします。

侵入防止フィルタリングを設定してみる3

デフォルトでは無効の設定になっているため「Use customized actions」を選択して下記設定をおこないます。
設定後は[Save]をクリックします。

  • Filter State: Enabled
  • Flow Control: Block
  • Log Event: Enabled

侵入防止フィルタリングを設定してみる4

設定が完了後は配布によりアプライアンスへの反映をおこないます。
左メニューの[NETWORK] > [Hosted Infrastructure]をクリックして一覧に移動をおこない、上部に表示される[Distribute Policy]をクリックしてポリシーの配布処理をおこないます。
※AWS環境にアプライアンスを構築している場合はポリシーの配布方法が変わる場合がございます。詳細はC1NSのドキュメントを参照ください。

侵入防止フィルタリングを設定してみる5

侵入防止フィルタリングを設定してみる6

配布は数分かかる場合がございます。
上記で、侵入防止フィルタリングの設定は完了になります。

さいごに

今回はCloud One Network Securityの位置情報とドメイン、侵入防止フィルタリングを利用してトラフィック制御を試してみました。
少しでもお客様の参考になればと考えております。