先日、Linode VLANの機能を拡張する方法についてお話しましたが、これにはVPCによるネットワークの分離や、複数のリージョンにVLANを拡張するための追加設定が含まれます。セキュアなネットワークの展開と維持には、成長する環境全体の可視性を確保するための追加のアプリケーションやツールが必要になることがよくあります。ここでは、VLANまたはVPCをさらにセキュアにするためにMarketplace 。
まず、VLAN または VPC の構成に絶対不可欠なコンポーネントである、ユーザーが分離されたリソースにアクセスするための VPN から始めましょう。最も人気のあるVPNの1つであるWireGuardは、OpenVPNやIPSecのようなプロトコルです。無駄がなく、高速で、信じられないほど安全です。実用的な用語では、無駄がないとはCPU使用量が少ないことを意味し、速いとは待ち時間や接続時間が短いことを意味し、セキュアとはタフで最新の暗号プリミティブを実装した設計によるものです。
また、WireGuard は、コード・レベルに至るまで攻撃対象が非常に少なくなっています。OpenVPNやIPSec VPNが数十万行であるのに対し、4000行以下のコードでLinux向けに構築されています。Linus Tolvards氏でさえ、2018年にLinuxカーネルにマージされる準備をしていたWireguardについて、肯定的なことを述べています。
私たちは、公衆インターネット上でデータを保護するためにVPNに依存しています。そこで、業界で最も高く評価されているプロトコルの1つから始めましょう。
LinodeとWireGuardのリソース。アプリのデプロイ|デプロイメントガイド|WireGuardホームページ
WardSpeedは、WireGuardプロトコルを使用し、ユーザーエクスペリエンスのためにいくつかのラップアラウンド機能を追加したVPNサーバです。WarpSpeedは、複数のSSOプロバイダ、接続履歴、およびリアルタイムの帯域幅の監視をサポートしています。WarpSpeedがWireGuardプロトコルを使用しているにもかかわらず、それはWireGuard開発チームと提携していない別のプロジェクトであることに注意することが重要です。
WarpSpeedは、1ユーザー、接続台数限定で有料のビジネスプランオプションを無料で提供しています。
LinodeとWarpSpeedのリソース。アプリのデプロイ|デプロイメントガイド|WarpSpeedホームページ
Wazuh は、統一された SIEM および XDR 機能を提供する統一セキュリティ・プラットフォームです。インフラ を監視し、脅威、脆弱性、または侵入を検知することで、複数の環境にまたがるワークロードを保護するために使用することができます。
- SIEM-Security Information Event Managementは、お客様の環境のあらゆる部分からログデータを収集し、悪意のある活動を発見するための可視性を提供します。
- XDR-Extended DetectionandResponseは、脅威への対応や事前のミティゲーションに重点を置いています。
*注:これらは非常に広範な定義です。XDRは比較的新しい用語であり、SIMEMとXDRソリューションの機能には重複があることが多い。
拡大する環境を可視化し、脅威に対して迅速かつ完全に対応するためには、SIEMとXDRの両方が不可欠になってきています。
プライベートネットワークについて話しているので、Wazuhを使った侵入検知について見てみましょう。WazuhはSuricataのようなネットワーク侵入検知(NIDS)ツールと組み合わせることで、ネットワーク上のトランジットポイントや個々のサーバーへのトラフィックやサーバーからのトラフィックを監視することができる。Wazuhはあなたの環境全体のNIDSイベントをピックアップし、統合ダッシュボードにパイプします。Suricataで疑わしいネットワークトラフィックをキャッチする方法の詳細については、Wazuhのドキュメントをチェックしてください。
LinodeとWazuhのリソース。アプリのデプロイ|デプロイメントガイド|Wazuhホームページ
KaliはLinode上でワンクリックアプリとして直接利用でき、侵入テストやリサーチのためのセキュリティプラットフォームとして非常に高い人気を誇っています。Kaliは、業界で最も広く使われているセキュリティ・ツールがあらかじめパッケージされたLinuxのディストリビューションです。ここでは、いくつかの主要なものを見てみましょう。
- Nmap (Network Mapper の略) は、生の IP パケットを使用して、環境からシステムとネットワークのインベントリを取得する。Nmapは大規模なネットワークを高速にスキャンし、利用可能なホストのリスト、それらが実行しているサービス、どのような種類のフィルタ/ファイアウォールが設置されているか、など多くの情報を返すことができる。
- Wiresharkは、リアルタイムで問題をトラブルシューティングするための主要なネットワーク・トラフィック・アナライザーです。Wiresharkはネットワーク管理者の主力ツールキットで、ドロップされたパケットからレイテンシーの問題まで何でも掘り下げることができ、悪意のある活動さえも発見することができます。Wiresharkは、TCP/IPネットワークに関する十分な知識を必要としますが、使い始めるのに役立つドキュメントが豊富に用意されています。
- Metasploitは、既知のエクスプロイトの膨大なデータベースを使用して、当社のネットワークに対する実際の攻撃をシミュレートすることができる侵入テストのフレームワークです。これにより、私たちの環境におけるあらゆる脆弱性をいち早く発見し、緩和することができます。
LinodeとKali Linuxのリソース。アプリのデプロイ|デプロイメントガイド|Kali Linuxのホームページ
Linodeのセキュアネットワーキング
Linodeは、最近ロンドンとフランクフルトのデータセンターでヨーロッパに拡大した無料のVLAN サービスを提供しています。VLANは新しいLinodeをデプロイする過程で作成され、Marketplace アプリをデプロイする際にも作成されます。1つのLinodeに最大3つのVLANを適用できます。デプロイ手順の詳細はドキュメントをお読みください。また、VPCのような実装により、冗長化、セキュア、地域分散されたアプリケーションを構築することもできます。
コメント