%20%E3%82%92%20IPS%20(%E4%BE%B5%E5%85%A5%E9%98%B2%E6%AD%A2%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0)%20%E3%81%A7%E8%A3%9C%E5%BC%B7%E3%81%99%E3%82%8B%E3%81%93%E3%81%A8%E3%81%AF%E6%84%8F%E5%91%B3%E3%81%8C%E3%81%82%E3%82%8A%E3%81%BE%E3%81%99%E3%81%8B%3F.png)
次のシナリオ:
- Web アプリケーション、HTTP/S トラフィックのみ
- ポート80/443のトラフィックのみを許可するファイアウォールが設置されている
- WAFが導入され、悪意のあるトラフィックを拒否するように設定されている
質問: このシナリオでは、IPS / Deep Package Inspection ソリューションを導入することで付加価値は生まれますか? 私の理解では、いいえ。しかし、明確な答えは見つかりませんでした。
答え1
質問: このシナリオでは、IPS / Deep Package Inspection ソリューションを導入することで付加価値は生まれますか? 私の理解では、いいえ。しかし、明確な答えは見つかりませんでした。
この質問に答えるために、まずは「価値」というキーワードを解明しましょう。ここで問うているのは、「セキュリティ制御の価値とは何か」ということです。
セキュリティ制御 (WAF、IPS、SPI ファイアウォールは技術的なセキュリティ制御の例) は、リスクを管理するために導入されます。制御がない場合に長期的に予想される損失よりもコストがかかるセキュリティ制御は、通常は導入されませんが、長期的に予想される損失よりもコストがかからないセキュリティ制御が導入されます。
ファイアウォールが1つのポートに制限され、WAFが配置されている場合にIPSを導入する価値があるかどうかは、実際には次の質問をしていることになります。現在のすべての設定に基づく予想損失からIPS導入後の予想損失を差し引いた値が、IPSのコストよりも大きいかyesどうか。答えが「大きい」場合、価値IPS を導入するメリットよりも導入コストの方が大きいため、IPS を導入することはお勧めできません。これは、リスク管理プロセスが実際に機能している例です。
この特定の状況に関しては、質問に明確に答えるには情報が足りません。技術的な回答では不十分です。たとえすべての情報 (膨大な量になります) があったとしても、リスクの計算方法にはさまざまなバリエーションがあるため、「実行方法」を示す以外には何もできないでしょう。おそらく、Serverfault の回答としてはこれまでで最も長いものになるでしょう :-)
ただし、一般的に言えば、IPS (ここでは簡単にするために HIPS と NIPS を統合します) を既存のソリューションと一緒に実装すると、次のような領域で価値を生み出す機会が得られます。
- 機能が重複している場合、ファイアウォールまたは WAF が誤って構成されているか侵害されている場合、脅威を検出しないか、または別の方法で脅威を検出すると、検出回避技術を検出する可能性が高まります。
- IPS が、まだ提供されていない追加の保護を提供する場合。これは製品と実装に依存しますが、次のようなものが含まれる場合があります...
- 既知の悪意のあるIPアドレスをブロックする
- イベント相関に基づくブロック - 例: HTTP リクエストを送信する前にポートスキャンが行われていたことが確認された IP
- 不正なプロセスによるファイルの変更を防止/検出
- その他多数
- 可視性の向上。IPS は、Web トラフィックだけでなく、環境内で何が起こっているかを詳しく監視するため、一般的に脅威の状況をより詳細に把握できます。
要約すると、IPS が価値があるかどうかはリスクによって決まります。このシナリオでは、冗長性のみが提供され、追加の機能がない場合でも、IPS を導入することを選択するシナリオが確かにあります (「万全を期す」アプローチ)。個人の Web サイトを保護する場合は、おそらく価値がありませんが、数十億ドル相当の知的財産を保護する場合は、価値がある可能性が高くなります。
答え2
ファイアウォールを正しく設定すれば、パケット検査を使用する必要はありません。ただし、最小限のサービスを備えたシンプルなサーバーが 1 つしかない場合でも、IPS/IDS と整合性チェックは必要です。
次の状況を検討してください。
- WAF に対する未知の攻撃方法/シグネチャがある場合、WAF はそのような脅威 (特にゼロデイ脆弱性) に対して実質的に役に立ちません。このような状況では、ユーザーのアクティビティを監視し、システムの整合性をチェックすることが賢明な方法です。監査ツールを使用すると、疑わしい (ただし未知である) 脅威を警告して役立つ場合があります。ただし、より多くのリソース、カスタマイズされた監査ルール、および継続的なチェックが必要です。
- WAFをバイパスすることは空想ではありません。この場合、IPS/IDSまたはその他のスキャンメカニズムは、防御の第2層としてセキュリティレベルを高めます。WAFが失敗した場合でも、
設定に不安があるが、複雑または高価なソリューションを使用したくない場合は、組み合わせる非常に基本的なツール「iptables」カスタマイズされたルール「SELinux」そして「補佐官」より強力なセキュリティ計画のため。
答え3
インターネット トラフィックを保護するために、DMZ に WAF を設定できます。また、IDS/IPS と DPI をアクティブまたはパッシブ (インラインまたは非インライン) で内部ネットワークで使用することもできます。