メインコンテンツにスキップ
ブログネットワーキングVLANやVPCを囲うセキュリティアプリ

VLANやVPCを囲うセキュリティアプリ

VLANやVPCを囲うセキュリティアプリ

先日、Linode VLANの機能を拡張する方法についてお話しましたが、これにはVPCによるネットワークの分離や複数の地域にわたってVLANを拡張するための追加設定などがあります。安全なネットワークを展開し維持するためには、成長する環境全体の可視性を確保するために、しばしば追加のアプリケーションやツールが必要になります。ここでは、VLANやVPCのセキュリティをさらに高めるために、マーケットプレイスで入手可能ないくつかのアプリケーションを紹介します。

WireGuard®(ワイヤーガード

まず、VLAN や VPC の構成に絶対に欠かせない要素である、分離されたリソースにユーザーがアクセスするための VPN について説明します。最も人気のある VPN の 1 つである WireGuard は、OpenVPN や IPSec のようなプロトコルです。これは、無駄がなく、高速で、信じられないほど安全です。実用的な用語では、無駄のないとはCPU使用量が少ないこと、速いとはレイテンシーと接続時間が短いこと、安全とは厳しい最新の暗号プリミティブを実装した設計によるものです。

また、WireGuard は、コード・レベルに至るまで攻撃対象が非常に少なくなっています。OpenVPNやIPSec VPNが数十万行であるのに対し、4000行以下のコードでLinux向けに構築されています。Linus Tolvards氏でさえ、2018年にLinuxカーネルにマージされる準備をしていたWireguardについて、肯定的なことを述べています。 

私たちは、公衆インターネット上でデータを保護するためにVPNに依存しています。そこで、業界で最も高く評価されているプロトコルの1つから始めましょう。

LinodeとWireGuardのリソース。アプリのデプロイデプロイメントガイドWireGuardホームページ

ワープスピード

WardSpeedは、WireGuardプロトコルを使用し、ユーザーエクスペリエンスのためにいくつかのラップアラウンド機能を追加したVPNサーバです。WarpSpeedは、複数のSSOプロバイダ、接続履歴、およびリアルタイムの帯域幅の監視をサポートしています。WarpSpeedがWireGuardプロトコルを使用しているにもかかわらず、それはWireGuard開発チームと提携していない別のプロジェクトであることに注意することが重要です。

WarpSpeedは、1ユーザー、接続台数限定で有料のビジネスプランオプションを無料で提供しています。

LinodeとWarpSpeedのリソース。アプリのデプロイデプロイメントガイドWarpSpeedホームページ

Wazuh

Wazuh は、統一された SIEM および XDR 機能を提供する統一セキュリティ・プラットフォームです。インフラ を監視し、脅威、脆弱性、または侵入を検知することで、複数の環境にまたがるワークロードを保護するために使用することができます。

  • SIEM-Security Information Event Managementは、お客様の環境のあらゆる部分からログデータを収集し、悪意のある活動を発見するための可視性を提供します。
  • XDR-Extended DetectionandResponseは、脅威への対応や事前のミティゲーションに重点を置いています。

*注:これらは非常に広範な定義です。XDRは比較的新しい用語であり、SIMEMとXDRソリューションの機能には重複があることが多い。

拡大する環境を可視化し、脅威に対して迅速かつ完全に対応するためには、SIEMとXDRの両方が不可欠になってきています。

プライベートネットワークについて話しているので、Wazuhを使った侵入検知について見てみましょう。WazuhはSuricataのようなネットワーク侵入検知(NIDS)ツールと組み合わせることで、ネットワーク上のトランジットポイントや個々のサーバーへのトラフィックやサーバーからのトラフィックを監視することができる。Wazuhはあなたの環境全体のNIDSイベントをピックアップし、統合ダッシュボードにパイプします。Suricataで疑わしいネットワークトラフィックをキャッチする方法の詳細については、Wazuhのドキュメントをチェックしてください。

LinodeとWazuhのリソース。アプリのデプロイデプロイメントガイドWazuhホームページ

Kali Linux

KaliはLinode上でワンクリックアプリとして直接利用でき、侵入テストやリサーチのためのセキュリティプラットフォームとして非常に高い人気を誇っています。Kaliは、業界で最も広く使われているセキュリティ・ツールがあらかじめパッケージされたLinuxのディストリビューションです。ここでは、いくつかの主要なものを見てみましょう。

  • Nmap (Network Mapper の略) は、生の IP パケットを使用して、環境からシステムとネットワークのインベントリを取得する。Nmapは大規模なネットワークを高速にスキャンし、利用可能なホストのリスト、それらが実行しているサービス、どのような種類のフィルタ/ファイアウォールが設置されているか、など多くの情報を返すことができる。
  • Wiresharkは、リアルタイムで問題をトラブルシューティングするための主要なネットワーク・トラフィック・アナライザーです。Wiresharkはネットワーク管理者の主力ツールキットで、ドロップされたパケットからレイテンシーの問題まで何でも掘り下げることができ、悪意のある活動さえも発見することができます。Wiresharkは、TCP/IPネットワークに関する十分な知識を必要としますが、使い始めるのに役立つドキュメントが豊富に用意されています。
  • Metasploitは、既知のエクスプロイトの膨大なデータベースを使用して、当社のネットワークに対する実際の攻撃をシミュレートすることができる侵入テストのフレームワークです。これにより、私たちの環境におけるあらゆる脆弱性をいち早く発見し、緩和することができます。 

LinodeとKali Linuxのリソース。アプリのデプロイデプロイメントガイドKali Linuxのホームページ

Linodeのセキュアネットワーキング

Linodeは無料のVLANサービスを提供しており、最近ロンドンとフランクフルトのデータセンターでヨーロッパに拡大しました。VLANは、マーケットプレイスアプリをデプロイするときなど、新しいLinodeをデプロイする過程で作成されます。1つのLinodeに最大3つのVLANを適用することができます。デプロイメントの完全な手順については、ドキュメントをお読みください。また、VPCのような実装により、冗長化、安全性、地理的分散のアプリケーションを構築できます。


コメント 

コメントを残す

あなたのメールアドレスは公開されません。 必須項目には*印がついています。