ファイアーウォール、IPS、IDSについて

Question

ファイアーウォール、IPS、IDSについて、

ソフトウェアではなく、ハードウェアのファイアーウォール、IPS、IDSをMicrosoft Azureで使用することが可能ですか？

可能な場合、その設置位置はロードバランサー、スイッチの前になりますか後になりますか？

Answer 1

例えるなら賃貸の集合アパートに戸建て用の門や塀を設置したいと主張されているわけですが。質問者さんはMicrosoft Azureに限らずクラウドサービスというものを根本的に勘違いされていませんか？

Answer 2

返信、ありがとうございます。

言い方を変えます。

新しく、追加ではなく、

クラウドの中で、恐らく、ロードバランサとか、サーバとか、ストレージとか･･･

でネットワークが構成されてると思います。

その中に、ハードウェアのIPS、ファイアーウォールが存在しますか？

という質問でした。

それが存在する場合、それを借りれますか？

という質問でした。

Answer 3

目的をはっきりさせていただいた方がよりよいアドバイスをもらえるのではないでしょうか。
ファイヤウォールなどは手段です。何を実現するために、それらの情報を求めているのでしょうか。

仮にそういった層の機器を利用できたとしても、別の契約者の同じデータセンター内の別の仮想マシンに対しては効果がないことになりますが、そういったことも加味された上でのご質問だったのでしょうか。

Answer 4

True or False の絶対的な答えのみを欲するというのであれば、Microsoft に直接問い合わせてください。
MSDN フォーラムでは、Microsoft の公式回答を得ることができません。
このフォーラムで主に情報を提供するのは第三者であり、第三者では聞いたこと、試したこと、推測したことに基づいたコメントは可能ですが、それが正しいことを保障することはできません。

Microsoft Azure が IaaS/PaaS である 以上、物理的なサービスの提供はないと考えるのが自然だと思いますが、あくまで「私が思う」です。
取るに足らない言葉であれば 返答せずに無視して、Microsoft のセールスなり、サポートなりにお問い合わせください。

Answer 5

失礼な言い方をして、申し訳ありませんでした。

私は、クラウドを利用した経験がありません。

まだ、Azureを利用するかどうかも決めてません。

今、AWS、その他も検討してます。

それで、今は、それぞれを比較する判断材料として、クラウドに対する情報を集めている段階です。

試したこと、推測でよろしいので協力して頂けると、助かります。

返信を頂きまして、ありがとうございました。

Answer 6

フォーラム オペレーターの星 睦美です。
夕子ちゃん さん、質問の投稿ありがとうございます。

最初に質問されているハードウェアのファイアーウォール、IPS、IDSがAWSで利用可能かどうか私のほうではわかりませんが、現時点でMicrosoft Azure で提供しているサービスの中には含まれないようです。(より高いセキュリティが求められる場合はAzure ExpressRoute サービスでデータセンターへの専用線接続が可能です。)
私もAzulean さんと同様に、どういった目的でクラウドの利用を検討されているか差支えのない範囲でお知らせいただくと、ユーザー同士でより具体的なMicrosoft Azure の利用に関する情報交換ができるのではないかと思います。

Microsoft Azure の最新のサービスに関しては製品サイトをご紹介します。

Microsoft Azure に関する情報として、こちらの記事も参考になりそうだと思いますのでご紹介させていただきますね。

・Microsoft Azure概説
http://www.buildinsider.net/web/azure/01

・IIJ との協業により、日本での Azure ExpressRoute サービス提供を発表:

お役にたちましたら幸いです。

---

フォーラム オペレーター　星 睦美 - MSDN Community Support

Answer 7

フォーラムに対する理解については伸びているスレッドの方で進めていただくとして、

本題である質問についてもやはり根本的な勘違いがあると思われます。クラウドサービスというものは仮想化されたサーバー・ストレージ・ネットワークなどを借りるものです。利用者は物理的な専用サーバーを割り当てられるわけではありません。サーバーが仮想化されている以上、どこで実行されるかは固定されません。となるとハードウェアのIPS / Firewallというものも設置しようがありません。

サービスによってはデータセンター全体に対してIPS / IDSといった装置は用意されているかもしれませんが、それを利用者が意識することはできません。

質問から察するにデータセンターの提供するハウジングサービスなどを利用した方がいいと思います。

またAzuleanさんの指摘も重要です。私は以前にハウジングサービスを利用したことがありますが、同一のハブにぶら下がる別の契約者がハブを攻撃したため、ハブが停止しネットワーク的に孤立しました。自身でどんなに対策を行ってもその上流のネットワークを攻撃されれば孤立することは理解しておくべきです。

Answer 8

佐祐理さん、質問です。

ご存知じの範囲で回答頂ければ、ありがたいです。

「ハブが停止する」というイメージがわきません。

ハブって、ただの集線装置ですよね？

それが壊れるっていうのは、どんな状態なんですかね。

ハブのどこを見て、壊れたと判断しましたか？

それと、「ハブを攻撃」というのも、よくわかりません。

どんな攻撃を、どのくらいの時間行ったらハブが壊れますか？

いろいろ疑問があります。

噛み砕いて、説明していただければ、ありがたいです。

Answer 9

星 睦美さん、質問です。

ご存知の範囲で回答して頂ければ、ありがたいです。

いろいろな攻撃がありますが、
例えば、AzureでDDos攻撃（Synフラッド攻撃）に対する対策を考えるならば、どのような方法がありますか？

Answer 10

質問が変わってきましたので新しく質問を作成することをお勧めしますが、とりあえず私の知っていることを、

> 例えば、AzureでDDos攻撃（Synフラッド攻撃）に対する対策を考えるならば、どのような方法がありますか？
AzureではDDOS攻撃に対して検出・回避の仕組みを持っていて、攻撃の対応はサポートされておりカスタマーサポートに連絡すると対処してくれます。
それが、どのような機器を使用して、どのような機構で実現しているかは把握していません。（おそらく公開されていません。）

どのような方法については、Azureだから特別なことをしなければいけない、といったことはないと考えています。
DDOS攻撃についての特別な対策は行ったことが無いので的外れかもしれませんが
IISログやパフォーマンスログの取得、IISの設定くらいだと思います。

まずは以下のホワイトペーパーなどのドキュメントを読むこと
Azureを触れる環境があるのであれば、自習書も合わせて読むことをお勧めします。

Windows Azure ネットワーク セキュリティに関する新しいホワイトペーパー
http://blogs.msdn.com/b/windowsazurej/archive/2014/01/10/blog-new-windows-azure-network-security-whitepaper.aspx

設計および運用面のセキュリティ
http://azure.microsoft.com/ja-jp/support/trust-center/security/

Azure のテクニカル ドキュメント ライブラリ
http://msdn.microsoft.com/ja-jp/library/dn578280.aspx

Microsoft Azure 自習書シリーズ
http://blogs.msdn.com/b/windowsazurej/archive/2014/06/02/blog-published-azure-self-learning-series.aspx

Answer 11

r-cap さんの返信が参考になると思います。

こちらは英語の記事ですが、Azure のDDOSへの対応に関して少し書かれています。

・Top 10 Lesser-Known Facts About Windows Azure Security:
http://www.lifehacker.com.au/2013/04/top-ten-lesser-known-facts-about-windows-azure-security/

※フォーラム ユーザーからの情報がお役にたちましたら、今後の回答の励みになりますので投稿者から[回答としてマーク]いただければ幸いです。

---

フォーラム オペレーター　星 睦美 - MSDN Community Support

Answer 12

ハブといっても今どきはswitching hubです。switching hubでは全てのパケットの宛先を見てどのポートに送るべきか判断します。「ハブを攻撃」とはパケットの送信元アドレス・宛先アドレスをランダムに切り替えながらパケットを送信することでハブの持つプロセッサーに過負荷を与えます。

ランダムに切り替えられるとハブのプロセッサーは宛先判断の処理が滞りパケットが届き辛くなります。更に負荷を与えるとプロセッサーが故障しパケットを流せなくなります。

どの程度の攻撃で故障するかはハブの性能次第・機種次第ですので答えようがありません。

攻撃個所・攻撃方法は様々ですので、質問者さんの知らないことはいくらでもあると思います。質問者さんの思い付いた攻撃だけに対処したところで意味がありません。ハードウェアのファイアーウォール、IPS、IDSにこだわらず専門家に相談することをお勧めします。

Answer 13

回答、ありがとうございます。
ただ、よくわかりません。

「どの程度の攻撃で故障するかはハブの性能次第・機種次第ですので答えようがありません。」
と言ってますが、実際に故障したんですよね。そのハブについて聞いてます。
佐祐理さんが使用してたハブですから当然、機種も性能もご存知ですよね。
ですから、そのハブが、どの程度の攻撃で壊れたのかを教えて頂けますか。

それは、当然わかりますよね。
だって、「パケットの送信元アドレス・宛先アドレスをランダムに切り替えながらパケットを送信することでハブの持つプロセッサーに過負荷を与えます。」
そうやって言ってるからには、証拠があって特定したんですよね。
私が聞きたいのは、その証拠が何なのかと言うことと、その証拠の見方を教えて頂ければありがたいです。

「別の契約者が」って言うからには、どこかにIPアドレスか何か残っていて、それを見て特定したんですか？
だとしたら、それがどこかと言うのも教えて頂けますか？

メーカ保証も１年間ぐらいあると思います。
それは保証期間内ですか、外ですか？

今のスイッチングハブは省電力で、放熱性の高いメタルシャーシを採用していて、冷却ファン付きで高い放熱性を持ってます。

Answer 14

星 睦美さん、r-cap さん、Azulean(MVP)さん、素晴らしい回答をありがとうございます。
お陰様で、質問の目的を達成することができました。
ありがとうございました。

Answer 15

フォーラムでのユーザー同士の円滑な情報交換のため、オペレーターの判断で返信の一部を削除させていただきました。

Microsoft Azure に関する話題からは外れますが、ネットワーク機器と攻撃に関しての検証の記事を見つけましたのでご紹介しておきます。古い記事ですがご参考まで。
「ネットワーク機器やOSでDoS攻撃を防げるか？」――警察庁が検証結果を公表
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040324/141889/

Microsoft Azure では上記のようなネットワークへの攻撃へ対応する部分もクラウド サービスの中に含まれています。
・設計および運用面のセキュリティ
http://azure.microsoft.com/ja-jp/support/trust-center/security/

クラウドに関する情報収集のためにこちらのスレッドを読む方の参考までに、ハウジングやホスティング、クラウドのサービスを説明した記事もリンクさせていただきますね。
いまさら聞けない、データセンターの基礎知識 (1/2)
http://www.itmedia.co.jp/im/articles/1204/26/news141.html

では、今後ともMSDN フォーラムをお役立てください。

---

フォーラム オペレーター　星 睦美 - MSDN Community Support

Answer 16

「どの程度の攻撃で故障するかはハブの性能次第・機種次第ですので答えようがありません。」
と言ってますが、実際に故障したんですよね。そのハブについて聞いてます。
佐祐理さんが使用してたハブですから当然、機種も性能もご存知ですよね。
ですから、そのハブが、どの程度の攻撃で壊れたのかを教えて頂けますか。

ハブはデータセンターの所有物ですので、ハウジングサービス利用者に対して機種は知らされていません。サービス利用者としてサービス停止期間とその原因について報告を受けただけです。

だって、「パケットの送信元アドレス・宛先アドレスをランダムに切り替えながらパケットを送信することでハブの持つプロセッサーに過負荷を与えます。」
そうやって言ってるからには、証拠があって特定したんですよね。
私が聞きたいのは、その証拠が何なのかと言うことと、その証拠の見方を教えて頂ければありがたいです。

「別の契約者が」って言うからには、どこかにIPアドレスか何か残っていて、それを見て特定したんですか？
だとしたら、それがどこかと言うのも教えて頂けますか？

調査はデータセンターが行ったので実際の調査方法は分かりませんが、ハブの統計情報を見るだけで判別できます。特定のポートから送信されるパケット数が異様に多い、送信元Macアドレスがランダムに変化している、など。後はそのポートにつながっているサーバーの契約者が犯人になります。

メーカ保証も１年間ぐらいあると思います。
それは保証期間内ですか、外ですか？

メーカ保証に何を期待しているのでしょうか？ 攻撃を受けて故障して機種交換されればそれで満足なのですか？ 元の質問は「ファイアーウォール、IPS、IDSについて」でしたから攻撃耐性が議論されていたと思いましたが。
# というか普通は保守契約を結ぶような…。

今のスイッチングハブは省電力で、放熱性の高いメタルシャーシを採用していて、冷却ファン付きで高い放熱性を持ってます。

何を言っているのかよくわかりませんが、Microsoft Azureにハブの持ち込みはできません。

最初から指摘していますがクラウドサービスについて誤解している印象しかありません。それと攻撃手段は多数あることをお伝えするべく一例を挙げただけなのに、その一例にこだわり否定しようと努力する辺り、手段のために目的を見失っているように見受けられます。

Answer 17

「調査はデータセンターが行ったので実際の調査方法は分かりませんが、ハブの統計情報を見るだけで判別できます。

 特定のポートから送信されるパケット数が異様に多い、送信元Macアドレスがランダムに変化している、など。
 後はそのポートにつながっているサーバーの契約者が犯人になります。」

その調査方法および使用したツールが知りたかったです。

Answer 18

Microsoft Azure に関しての質問にはすでに回答が終了しています。ネットワークへの攻撃に関する調査方法やツールの話題はMicrosoft Azure フォーラムの目的から外れてしまいますので、こちらのスレッドはクローズさせていただきます。今回はオペレーターの判断でロックいたしました。

・フォーラムへの回答に関するガイドラインおよびフォーラム運営について（再掲）

MSDN フォーラムでは一般的なネットワークの運用に関する話題を扱うフォーラム カテゴリはありませんが、インターネットで「ネットワーク」「運用」「コミュニティ」などをキーワードに検索したり、お使いのネットワーク機器の製品サイトで、ユーザー向けのコミュニティの紹介や知りたい情報が見つかるのではないかと思います。
一例ですが、ご参考までに。https://supportforums.cisco.com/ja/community/5041/security 

---

フォーラム オペレーター　星 睦美 - MSDN Community Support