Cloud One Workload Security の機能について簡単に整理する
Cloud One Workload Securityについて
Cloud One Workload Security(以下C1WS)はTrend Micro社が提供するSaaSセキュリティ製品の一つです。 Cloud Oneではコンテナ向けの製品など様々な目的別に製品が用意されています。 今回は、EC2などのサーバー、ワークロード、その上で動作するアプリケーションの保護に特化したWorkload Securityの機能について概要を説明していきます。
アーキテクチャ
C1WSは以下のような仕組みになっています。
サーバー側にエージェントのインストールが必要です。 このエージェントがサーバー内で起動し、設定に沿った動作を行います。
エージェント側がC1WSのサービスエンドポイントにアクセスし設定を取得することでサーバーに直接アクセスセずともエージェントの管理が可能になります。 サーバーからC1WSのサービスエンドポイントへの経路が確保されていれば使えるので、追加でポートを開放する必要がなくとても便利です。
機能について
C1WSでは各機能は保護モジュールと呼ばれています。
この各モジュールの有効化・無効化および設定をコンソール上で管理することが可能です。
モジュールとしては以下のものがあります。
- 不正プログラム対策
- ファイアウォール
- Webレピュテーション
- デバイスコントロール
- アプリケーションコントロール
- 侵入防御(IPS/IDS)
- 変更監視
- セキュリティログ監視
以下で順にもう少し詳しく説明していきます。
不正プログラム対策
不正プログラム対策はマルウェアなどの不正なプログラムからワークロードを保護するためのモジュールです。
ストレージ内のファイルを検索し、脅威となるものが検知された場合に隔離・削除することが可能です。 また、不正なプログラムのパターンデータなどの更新を行うことで常に最新の脅威に対応することが可能です。
検索方法としては以下の3つがあります。
- リアルタイム検索: ディスクへの読み取り、書き込みまたはその両方が発生したタイミングで該当のファイルをスキャンします
- 手動検索: C1WSのコンソール上から手動でスキャンを行います
- スケジュール検索: C1WSのコンソール上で設定したスケジュールに従ってスキャンを行います
ストレージ内のファイルを検索する都合上、ディスクI/Oが発生します。 特にDBやログなどの頻繁に書き込みが発生するファイルに対してリアルタイム検索が行われると、その分だけ処理が行われます。 この場合は該当のファイルを検索対象から外すなどの対応が必要になるかと思います。
ファイアウォール
ファイアウォールは通信の制御を行うためのモジュールです。
単に特定のプロトコルやポートへのアクセスをブロックするといった以上の機能があります。 例えば、OSの種類などを特定するためのトラフィックが送られて来た場合に通知を行うなどです(攻撃の予兆検索機能)
また、いきなりファイアウォールのルールを変更すると正常なトラフィックがブロックされてしまい、ワークロードの稼働に支障をきたすなどリスクもあります。
C1WSのファイアウォールではすべてのトラフィックを通過させ、どのトラフィックが拒否されたのかを様子見するモードがあります(タップもしくはインラインモード) これを活用することで、事前にルールのデバッグを行うことが可能です。
Webレピュテーション
Webレピュテーションは脅威となる可能性のあるURLへのアクセスを制御するためのモジュールです。
ブラウザなどを通じで、悪意のあるWebページにアクセスしてしまうなどの脅威を防ぐことができます。
脅威となるURLについては、自分で許可リスト・ブロックリストを管理することも可能ですが、Trend Micro社から提供されている脅威となるURLのリストを使用することも可能です。
デバイスコントロール
デバイスコントロールはUSBフラッシュメモリなどの外部ストレージの接続をコントロールするモジュールです。 これを活用することでデータの漏洩などを防ぐことが可能です。
USB大容量ストレージが接続された際に読み取りのみやブロックなどの動作を管理することができます。
また、WindowsではUSB機器が接続された際の自動実行をブロックするといったことも可能です。
アプリケーションコントロール
アプリケーションコントロールはアプリケーションのインストール・変更を制御するためのモジュールです。
有効化することで以下の2つの方法で制御することが可能です。
- 承認されていないソフトウェアを明示的に許可するまでブロック => デフォルトでブロック
- 承認されていないソフトウェアを明示的にブロックするまで許可 => デフォルトで許可
この他にもメンテナンスモードというのがあり、このモードを有効化している間のインストール・変更は自動的に許可リストに追加されます。 サーバーの初期構築時などに便利なモードかと思います。
ソフトウェアの許可・ブロックはC1WSのコンソールから制御可能です。
侵入防御(IPS/IDS)
侵入防御はトラフィック内容を検査し不審なトラフィックをブロックすることで既知または、ゼロデイの脆弱性からワークロードを保護できるモジュールです。 一般に言うところのIPS/IDS機能があり、通信の遮断/監視・アラームを行うことができます。
攻撃手法ごとにルールが用意されており、SQLインジェクションやRDP、SSHなどのソフトウェアの脆弱性への攻撃なども用意されています。 また、ワークロードごとの推奨設定を自動で作成することができ、数多くあるルールから推奨値を簡単に設定することができるので便利です。
以下の2つのモードがあります。
- 防御 => 検出段階でトラフィックをブロックする
- 検出 => 検出段階ではトラフィックはブロックしない、検出したイベントのみが残る
検出モードで運用し、正常なトラフィックがブロックされていなければ防御モードへの移行といった使い方ができます。
変更監視
変更監視はシステムに対する変更を検知するためのモジュールです。 「監視」という名の通り、ブロックしたりといった機能はなく想定外の変更が発生した際にアラームを発生させ通知を受けるといった事が可能です。
どういった変更を検知対象とするかについてはルールが用意されており、それに従って検知を行います。 また、ワークロードごとの推奨設定を自動で作成することができ、数多くあるルールから推奨値を簡単に設定することができるので便利です。 Windowsの一例としてはネットワークの設定ファイルやシステムファイルの変更などが検知可能です。
また、変更監視にはリアルタイム検索がありこちらは変更が発生した瞬間に検知することが可能です。 ただ、その分マシンリソースを使用するので注意が必要です。
セキュリティログ監視
セキュリティログ監視はシステムのログから重要なセキュリティイベントを識別するのに有用なモジュールです。 イベントはSIEMやログサーバーに転送可能で、そちらを使用して分析を行うこともできます。
どういったログを監視対象とするかのルールが用意されており、それに従ってイベントを識別可能です。 また、ワークロードごとの推奨設定を自動で作成することができ、数多くあるルールから推奨値を簡単に設定することができるので便利です。 Windowsの一例としてはシステムのセキュリティイベントやRDPの接続情報なども取得可能です。
終わりに
Cloud One Workload Securityの機能について整理ができたかと思います。 各モジュールにはもっと細々とした設定等があるので導入を検討する場合は公式ドキュメントを参考に設定していくのが良いかと思います。
