この度、サービスで検知した攻撃イベントの一部のデータをストリームデータに変換し、攻撃の状態をストリーミングして可視化するThreat Mapを開発しました。
このThreat Mapはコンテナで構築し、現在インターネット上に公開しております。そのコンテナを保護するため、弊社が開発した「ContainerWALL」でThreat Mapを保護しております。こちらはデモの要素を含めて公開しておりますますが、イベントを静的に表示するダッシュボードとは異なり、動的に攻撃の検知状況がわかる画面は動きがあり面白いです。
コンテナは非常に便利で、サーバを含めた環境の移行なども簡単に行いやすく、現在はAzure上のバーチャルマシンにDockerをインストールしてThreat Mapシステムを構成する複数のコンテナをdocker-composeで起動させて立ち上げております。今回は、単体のホストで簡易的に構築したため、kubernetesなどを含めた運用になっておりませんが、将来的にはkubernetesやopenshiftなどを絡めた環境で構築できればと考えております。
構成は以下の絵のようになります。インターネットからの通信を「ContainerWALL」で受信し、Threat Mapコンテナに転送されるように「ContainerWALL」はリバースプロキシとして機能します。「ContainerWALL」ではhttp/httpsのみを許可し、「ContainerWALL」に組み込まれたAIモデルで不正なリクエストを判定し、アクション設定に応じて動作します。また、DoS/DDoS対策として送信元のリクエスト数や、送信時間に応じて不正なリクエストを制御することができます。
下の画面は「ContainerWALL」の設定画面の一部になります。Webセキュリティの機能で求められる、XSS、SQLインジェクション、コマンドインジェクションなどの不正リクエストの検査は、不正なペイロードを学習させたAIモデルで判定し、リアルタイムに処理しております。その他の主要なセキュリティ設定はON・OFFで設定できるようにシンプルな設定画面の構成にしております。また、AIモデルで誤検知した場合は、イベントで詳細を確認することができますので、その内容を除外する調節機能も設けております。
コンテナは負荷が高くなれば、リソースを拡張するために複数のコンテナが起動することがあります。CyberNEOでは複数のコンテナがコンソールで管理されていますので、複数の同じコンテナが起動しても同じ設定を保持することができ、コンテナのスケールアウトに対応することができます。また、セキュリティイベントもコンテナ内のエージェントを介してCyberNEOクラウドにアップロードされるため、CyberNEOのWebコンソールで設定変更やイベント確認ができます。
コンテナ上でWebセキュリティを強化したい場合は、是非「ContainerWALL」を試していただきたいと思います。弊社までご相談いただければコンテナの導入から検証評価のサポートを支援させていただきますのでよろしくお願いします。