Cloud One Application Security(Preview)でIPプロテクションの設定をしてみた

2020.10.28

こんにちは、コンサル部@大阪オフィスのTodaです。

トレンドマイクロ社が提供しているCloud One Application Security(Preview)を試す機会が ありましたのでIPプロテクションに関する設定を試してみました。

Cloud One Application Security(Preview)の詳細は下記記事を合わせてご覧ください。

この記事は前回EC2にLaravel(PHP)を導入して検証をした続きになります。
オープンリダイレクト、リモートコマンド、不正なファイルアクセス検知については下記記事をご覧ください。

前提条件

  • 現在(2020/09/29時点)はPreview版であり、今後変更される予定があるため、ご注意ください。
  • Cloud One トライアル版アカウント登録し、30日無償にてトライアルで簡単にテストしています。
  • EC2はLAMP環境が整っている状態から利用しています。

IPプロテクションを試してみる

CloudOneには接続元のIPアドレスを判定してログに記録 または 遮断する事ができます。
シンプルなUIで操作ができるため運用者でも簡単に設定することが可能です。
今回はIPアドレスの検出、遮断を試してみたいと思います。

ポリシー設定からIPプロテクションが有効か確認

IPプロテクションの機能が有効になっているかを確認します。
無効の場合は、リスト横のスイッチを切り替えて有効化します。

IPプロテクションの有効化

ポリシー設定に移動

IPプロテクションのポリシー設定画面に移動します。

IPプロテクションのポリシー設定

ルールの追加

新しいルールを追加します。右上の+ボタンをクリックします。

IPプロテクションのルール追加

ルールの設定

記録、遮断をしたいIPアドレスを入力します。
ルールは期限付き・無制限を指定する事ができます。

IPプロテクションのルール設定

ルールの反映

上記登録をすると一覧に追加されます。画面下の保存ボタンをクリックします。

IPプロテクションのルール反映

実際にアクセス

作業後、指定のIPアドレスからWebサーバに接続をしたところCloudOneの画面上にアクセスログが表示されるようになりました。 この時点ではサイトは通常どうり表示されます。

CloudOne画面ログ

指定のIPアドレスをブロックする

ブロックに設定変更

IPプロテクションの設定をREPORTからMITIGATEに変更します。

指定のIPアドレスをブロック

変更後、Webサーバに接続をしたところブロックページが表示されるようになりました。

エラー画面

Torからの接続をブロックしてみる

Tor(トーア)はTCP/IPの接続経路を匿名化するための通信システムです。
CloudOneにはTorの出口ノードから来た通信を記録・ブロックするポリシーが準備されています。

ポリシー設定に移動

IPプロテクションのポリシー設定画面に移動します。

IPプロテクションの設定に再度移動

ポリシー設定内のIP Feedsを設定

ポリシー設定内のIP Feedsを有効化、Torの設定をブロックにして保存します。

IPプロテクションでTorをブロック

上記でTorからのアクセスをブロックする事ができます。

さいごに

Cloud OneのApplication Securityに関して試してみました。
設定をいろいろ試しておりますが、簡単にポリシーの設定ができるため運営者・管理者でも操作がやりやすいと感じております。
ポリシーを検討する際は開発担当者も交えて考える事をおすすめいたします。

今回は、IPプロテクションについて試してみました。
上記以外にも機能はございますので別記事でご案内させていただきたいと思います。