ビュー:
AWSのクラウドIPSアーキテクチャは以下で構成されています:
  • インターネットゲートウェイ (IGW) を含むVPC。
  • AWSネットワークファイアウォールエンドポイントを備えたファイアウォールパブリックサブネットで、TrendAI Vision One™管理ルールグループ (不正プログラム、クライアントCVE、サーバCVE) を実行しています。
  • ワークロードをホスティングするアプリケーションサブネット (プライベート)(例: EC2、EKS、ECS、Lambda)。
次のセクションでは、TrendAI Vision One™の管理ルールグループを使用して環境を保護するCloud IPSのさまざまなシナリオ例について説明します。
注意
注意
これらの例はCloud IPSがどのように保護を提供するかの概念を説明していますが、Cloud IPSルールグループはお客様の環境における多くの潜在的なユースケースをカバーすることができます。

不正プログラム保護 - アウトバウンドC2ブロック

シナリオ: 不正プログラムに感染したEC2 Instanceがコマンドアンドコントロールサーバと通信を試みる。
トラフィックフロー:
  1. EC2 Instance (プライベートサブネット) 上の不正プログラムが外部接続を試みています。
  2. トラフィックはファイアウォールサブネット内のAWS Network Firewallエンドポイントにルーティングされます。
  3. TrendAI-MalwareBlockStrictOrderルールグループはトラフィックを検査します。
  4. 悪意のあるC2トラフィックはブロックされ、ログに記録されます。
  5. 正当なトラフィックはNATゲートウェイを経由してインターネットゲートウェイに続きます。
適用対象: EC2、ECS、EKS、Lambda、その他のAWSサービスからの南北および東西トラフィック。

サーバ側CVE保護 - インバウンドエクスプロイトブロック

シナリオ: 外部の攻撃者がアプリケーションのサーバ側の脆弱性を悪用しようとしています。
トラフィックフロー:
  1. 悪意のある攻撃者がインターネットから脆弱性悪用の試行を送信します。
  2. トラフィックはインターネットゲートウェイを通じて入ります。
  3. AWS Network Firewallエンドポイントへのルート。
  4. TrendAI-CVEServerBlockStrictOrderルールグループはトラフィックを検査します。
  5. 脆弱性悪用の試行はブロックされ、記録されました。
  6. 正当なトラフィックはパブリックALBを経由してアプリケーションサーバーに続きます。
適用対象: EC2、ECS、EKS、Lambda、その他のアプリケーションサーバーへの南北および東西トラフィック。

クライアント側CVE保護 - 双方向エクスプロイトブロック

シナリオ: 侵害されたワークロードが外部サーバを攻撃しようとしています。
トラフィックフロー:
  1. プライベートサブネット内のEC2 Instanceが外部サービスへの正当なアウトバウンドAPIリクエストを開始します。
  2. トラフィックはサブネットルートテーブルを介してAWS Network Firewallエンドポイントにルーティングされます。
  3. TrendAI-CVEClientBlockStrictOrderルールグループは、サーバの応答を含む双方向トラフィックを検査します。
  4. クライアント側のCVEエクスプロイトペイロードを含む悪意のある対応がブロックされ、ログに記録されました。
  5. 正当なトラフィックはNATゲートウェイ、インターネットゲートウェイを経由して外部サービスに続きます。
適用対象: EC2、ECS、EKS、Lambda、その他のワークロードからの南北および東西トラフィック。