IDS/IPSとは?
IDS/IPSを導入する機運がありつつも、ネットワークセキュリティ何も分からんといった感じなので調べたことをまとめていく。
また、AWSがメインな環境ではIDS/IPS導入ってどうやるのというのを調べた。
次回は実践編を書きたい。
そもそもIDS/IPSとは?
ざっくりこんな感じ
IDS (Intrusion Detection System)
- 不正侵入検知システム
- 不正侵入を検知すると報告する
NIDS(ネットワーク型IDS)
- ネットワークを監視するために使われるIDS
- パケットを監視する
- FW → NIDS → Webサーバ
- 通信内容が暗号化されると検知できない
HIDS(ホスト型IDS)
- 保護したいコンピュータにインストールする
- OSやアプリケーションが生成するシステムログ、監査ログ、イベントログなどの情報を利用して検知
- 暗号化されていてもホスト側で複合化されたものを使用して検知できる
IPS(Intrusion Prevention System)
- 不正侵入防止システム
- FWで検知できない不正侵入を遮断することができる
NIPS(ネットワーク型IPS)
- 通信経路(インライン)を考慮しないと遮断できないので注意。
- 通信内容が暗号化されると遮断できない。
HIPS(ホスト型IPS)
- 保護したいコンピュータにインストールする
- 暗号化されていてもホスト側で複合化されたものを使用して検知できる
ではAWSでは何を使うといいのか?
AWS Network Firewall
3rd party製の何かを買ってインストールして使うのもいいが、マネージドで済ませられるならそれに越したことはないかなぁ。と考えていた。
調べてみると比較的新しい機能としてAWS Network Firewallというものがあったのでそれを調べてみた。
概要
VPCのサブネットに配置するマネージドなFirewallサービス
トラフィックの負荷に基づいてファイアウォールの容量を自動的にスケールアップまたはスケールダウンする
AWSパートナー製品と統合することも可能。
ルールグループ
AWS Network Firewall のルール グループ
以下の2種類に大別される。
- AWSマネージドルールグループ
- AWSにより自動的にアップデート
- AWSが提供するルールで問題なし。と組織内で妥当性について合意を取れればすごい便利に感じる。
- 現時点では以下の2種類がサポートされている
- Domain list rule groups
- Threat signature rule groups
- Suricata 互換のステートフル マネージド ルール グループをサポート
- 2022/7 からサポート開始
- AWSにより自動的にアップデート
Suricata
非営利団体Open Information Security Foundationが管理する。
用語集
調べていてピンとこなかったものを調べた。
- 5-tuple
- 以下のIPヘッダ上の5つの要素を示す
- ソースアドレス
- 宛先アドレス
- プロトコル
- ソース・ポート
- 宛先ポート
- 以下のIPヘッダ上の5つの要素を示す
- シグネチャ型
- 「不正」な通信を定義し、パターンマッチングによって検知する。
- アノマリ型
- 「正常」な通信を定義し、それ意外をすべて不正として検知する。
参考資料
AWS Black belt Network Firewall 入門
AWS Network Firewall – New Managed Firewall Service in VPC