Ansichten:
Die Cloud-IPS-Architektur in AWS besteht aus:
  • Ihre VPC enthält ein Internet-Gateway (IGW).
  • Ein öffentliches Firewall-Subnetz mit dem AWS-Netzwerk-Firewall-Endpunkt, das TrendAI Vision One™ verwaltete Regelgruppen (Malware, Client-CVE, Server-CVE) ausführt.
  • Ein Anwendungs-Subnetz (privat), das Ihre Workloads hostet (z. B. EC2, EKS, ECS, Lambda).
Die folgenden Abschnitte beschreiben verschiedene Beispielszenarien, in denen Cloud IPS Ihre Umgebung mithilfe von TrendAI Vision One™ verwalteten Regelgruppen schützt.
Hinweis
Hinweis
Diese Beispiele erklären das Konzept, wie Cloud IPS Schutz bietet, aber Cloud IPS Regelgruppen können eine Vielzahl potenzieller Anwendungsfälle in Ihrer Umgebung abdecken.

Malware-Schutz - Ausgehende C2-Blockierung

Szenario: EC2 Instance, die mit Malware infiziert ist, versucht, mit dem Command-and-Control-Server zu kommunizieren.
Verkehrsfluss:
  1. Malware auf EC2 Instance (privates Subnetz) versucht eine ausgehende Verbindung.
  2. Datenverkehr wird zu AWS Network Firewall-Endpunkt im Firewall-Subnetz geleitet.
  3. Die Regelgruppe TrendAI-MalwareBlockStrictOrder überprüft den Datenverkehr.
  4. Bösartiger C2-Verkehr wird gesperrt und protokolliert.
  5. Legitimer Datenverkehr wird weiterhin zum NAT-Gateway und dann zum Internet-Gateway geleitet.
Gilt für: Nord-Süd- und Ost-West-Verkehr von EC2, ECS, EKS, Lambda und anderen AWS-Diensten.

Server-seitiger CVE-Schutz - Eingehende Exploit-Blockierung

Szenario: Ein externer Angreifer versucht, eine serverseitige Sicherheitslücke in Ihrer Anwendung auszunutzen.
Verkehrsfluss:
  1. Schlechter Akteur sendet Exploit-Versuch aus dem Internet.
  2. Der Datenverkehr gelangt über das Internet-Gateway.
  3. Routen zum AWS-Netzwerk-Firewall-Endpunkt.
  4. Die Regelgruppe TrendAI-CVEServerBlockStrictOrder überprüft den Datenverkehr.
  5. Der Exploit-Versuch wird gesperrt und protokolliert.
  6. Legitimer Datenverkehr wird weiterhin an den öffentlichen ALB und dann an die Anwendungsserver geleitet.
Gilt für: Nord-Süd- und Ost-West-Verkehr zu EC2, ECS, EKS, Lambda und anderen Anwendungsservern.

Client-seitiger CVE-Schutz - Bidirektionale Exploit-Blockierung

Szenario: Kompromittierte Arbeitslast versucht, externen Server auszunutzen.
Verkehrsfluss:
  1. Eine EC2 Instance in einem privaten Subnetz initiiert eine legitime ausgehende API-Anfrage an einen externen Dienst.
  2. Der Datenverkehr wird über die Subnetz-Routingtabelle zum AWS Network Firewall-Endpunkt geleitet.
  3. Die Regelgruppe TrendAI-CVEClientBlockStrictOrder überprüft den bidirektionalen Datenverkehr, einschließlich der Serverantworten.
  4. Eine bösartige Antwort, die eine clientseitige CVE-Schwachstelle enthält, wird gesperrt und protokolliert.
  5. Legitimer Datenverkehr fließt weiterhin durch das NAT-Gateway, das Internet-Gateway und dann zum externen Dienst.
Gilt für: Nord-Süd- und Ost-West-Verkehr von EC2, ECS, EKS, Lambda und anderen Workloads.