Cloud One Application Security(Preview)でIPプロテクションの設定をしてみた
こんにちは、コンサル部@大阪オフィスのTodaです。
トレンドマイクロ社が提供しているCloud One Application Security(Preview)を試す機会が ありましたのでIPプロテクションに関する設定を試してみました。
Cloud One Application Security(Preview)の詳細は下記記事を合わせてご覧ください。
この記事は前回EC2にLaravel(PHP)を導入して検証をした続きになります。
オープンリダイレクト、リモートコマンド、不正なファイルアクセス検知については下記記事をご覧ください。
前提条件
- 現在(2020/09/29時点)はPreview版であり、今後変更される予定があるため、ご注意ください。
- Cloud One トライアル版アカウント登録し、30日無償にてトライアルで簡単にテストしています。
- EC2はLAMP環境が整っている状態から利用しています。
IPプロテクションを試してみる
CloudOneには接続元のIPアドレスを判定してログに記録 または 遮断する事ができます。
シンプルなUIで操作ができるため運用者でも簡単に設定することが可能です。
今回はIPアドレスの検出、遮断を試してみたいと思います。
ポリシー設定からIPプロテクションが有効か確認
IPプロテクションの機能が有効になっているかを確認します。
無効の場合は、リスト横のスイッチを切り替えて有効化します。
ポリシー設定に移動
IPプロテクションのポリシー設定画面に移動します。
ルールの追加
新しいルールを追加します。右上の+ボタンをクリックします。
ルールの設定
記録、遮断をしたいIPアドレスを入力します。
ルールは期限付き・無制限を指定する事ができます。
ルールの反映
上記登録をすると一覧に追加されます。画面下の保存ボタンをクリックします。
実際にアクセス
作業後、指定のIPアドレスからWebサーバに接続をしたところCloudOneの画面上にアクセスログが表示されるようになりました。 この時点ではサイトは通常どうり表示されます。
指定のIPアドレスをブロックする
ブロックに設定変更
IPプロテクションの設定をREPORTからMITIGATEに変更します。
変更後、Webサーバに接続をしたところブロックページが表示されるようになりました。
Torからの接続をブロックしてみる
Tor(トーア)はTCP/IPの接続経路を匿名化するための通信システムです。
CloudOneにはTorの出口ノードから来た通信を記録・ブロックするポリシーが準備されています。
ポリシー設定に移動
IPプロテクションのポリシー設定画面に移動します。
ポリシー設定内のIP Feedsを設定
ポリシー設定内のIP Feedsを有効化、Torの設定をブロックにして保存します。
上記でTorからのアクセスをブロックする事ができます。
さいごに
Cloud OneのApplication Securityに関して試してみました。
設定をいろいろ試しておりますが、簡単にポリシーの設定ができるため運営者・管理者でも操作がやりやすいと感じております。
ポリシーを検討する際は開発担当者も交えて考える事をおすすめいたします。
今回は、IPプロテクションについて試してみました。
上記以外にも機能はございますので別記事でご案内させていただきたいと思います。
