メインコンテンツまでスキップ
 
新しい会話を開始

未解決

kenji_yasui

1 Rookie

 • 

21 メッセージ

592

2022年11月10日 23:00

IsilonianTech 第25回 PowerScaleとサイバーセキュリティ ~Flowmon ADS + Zero Trust API編~

いつもご覧頂きましてありがとうございます。今年も残すところ1ヶ月半となりましたが、いかがお過ごしでしょうか?
季節も冬となり体調を崩しやすい時期になりましたが、私達の生活において感染症対策には予防接種やマスクの着用、手洗いうがいが有効なのはご承知のとおりです。感染した場合は病院で診てもらい症状が酷い場合は入院が必要になってくるケースもあります。

サイバーセキュリティの一連のプロセスも実社会の感染症に似ていると言われますが、通常とは違う様子(振る舞い)を検知することによって早期発見ができます。専門家(SOCやCSIRT)に診てもらう際には感染経路を特定(各種製品のログや、PowerScaleであれば監査ログ)が重要です。結果、症状が酷い場合は入院や自室などで隔離生活(ユーザのロックアウトやデータのAirGap)を行うことにより被害を最小限に抑えることができ、感染者(データ)のみを集中して治療(復旧)することが可能となります。もちろん感染しないように事前の予防策(PowerScaleの設定のレビューや見直し、定期的な環境アセスメントやDSA/CVEの確認、パッチ適用など)も重要です。

少し前置きが長くなりましたが、今回は約1年前(‎2021/11/25)にご紹介しましたRansomware Defenderの応用編としてFlowmon ADS + Zero Trust API(Ransomware DefenderのAPI)を組み合わせた多層防御についてご紹介します。

ztapi.png

 

 

 

1. Flowmon ADSおよびソリューション概要

Flowmonはネットワークのトラフィックを可視化し監視/分析するソリューションです。Flowmonアプライアンス(物理アプライアンスまたは仮想アプライアンス)を導入することにより企業内のネットワークの性能情報やアプリケーションの利用状況を把握することが可能です。標準機能だけでも大変便利な製品ですが、Flowmonのオプション機能であるADS(Anomaly Detection System)プラグインを導入することによりポートスキャンやブルートフォースアタック、C&Cサーバへの通信などネットワーク上の異常や不審な挙動を検出しアラートや対処を行うことができます。

第18回でご紹介したRansomware DefenderはPowerScaleをリアルタイムに監視して不審な挙動を検知した際に、スナップショットの作成を行うと同時にユーザのロックアウトやAirGapの制御(レプリケーション通信の再確立停止)を行い被害を最小限に抑えることができますが、データレイヤ(PowerScale)より手前のアプリケーションやネットワークレイヤで早期に異常を検知した際にPowerScaleと連携することができればデータへの攻撃を未然に防げる可能性が高くなります。今回ご紹介するFlowmon ADSとZero Trust APIの連携ソリューションでは、Flowmon ADSがネットワークレイヤで異常を検知した際にZero Trust API経由でRansomware Defenderと連携することで、プロアクティブにPowerScaleの保護をすることが可能となります。

ソリューションの一連の流れに関しては、下記の構成イメージ(アニメーションスライド)をご参照ください。なお、今回はRansomware Defender v2.5.8.1、Flowmon ADS 12.00.03で試してみました。

diagram.gif

                                                                 <上記スライドは5秒おきに変わります。>

 

 

 

2. Zero Trust APIの動作確認

ここではFlowmon ADSとRansomware Defenderとの橋渡し役となるZero Trust APIについてご紹介します。なお、Zero Trust APIを利用する際はEyeglass(Ransomware Defender)にてZero Trust APIライセンスを有効にする必要があります。

はじめにFlowmon ADSがAPIを発行する際に必要なAPIトークンの作成を行います。EyeglassではAPI Explorer(Swagger UI)が用意されており簡単にサンプルAPIの確認やAPIを実行することができます。APIトークンを作成した後、lockoutとcriticalpathsという2つのAPIが正常に動作するか試してみたいと思います。

 

 

2.1 APIトークンの作成

今回のテスト用のAPIトークンを作成します。管理メニューの「Superna Eyeglass REST API」から「Create New Token」を選択して任意の名前(今回はflowmon)でAPIトークンを作成します。次のステップ『2.2 lockout APIの動作確認』でAPIトークンが必要になるので作成したトークンをコピーします。なお、Eyeglassの機能により作成したAPIトークンをクリックするとAPIトークンがクリップボードにコピーされます。

zt01.png

 

 

2.2 lockout APIの動作確認

先ずはlockout APIを試してみます。lockout APIは名前のとおりRansomware Defenderに対して即時ロックアウト(LOCKED_OUT)のイベントを発行するAPIとなります。API Explorerを起動し入力フィールドに作成したAPIトークンを貼り付けて「Explore」をクリックします。

zt01s.png

 

APIリストから[ransomware (v2)]を展開してlockout APIを選択します。なお、lockout APIを実行する際はuserパラメータが必要です。下記の例では"userにyasui@coffee.local"を入力して「Try it out!」をクリックしました。

zt02.png

 

下記スクリーンショットのとおりZero Trust APIが正常に動作しRansomware Defender上でロックアウト(LOCKED_OUT)のイベントが発行されたことが確認できます。

zt03.png

 

 


2.3 criticalpaths API動作確認

続いてcriticalpaths APIを試してみたいと思いますが、criticalpaths APIを試す前にCritical Pathについてご紹介します。Ransomware Defender v2.5.8以降では新たにSnapshotsのタブが増えてスナップショット関連の設定が行えるようになりました。デフォルトの設定ではイベントが発生した際には共有に対してスナップショットを取得する設定となっていますが、Critical Pathにパスを指定することにより共有設定の有無に関係なくZero Trust APIを通じて指定したディレクトリに対してスナップショットを取得することができるようになります。

下記スクリーンショットの例では"/ifs/important"ディレクトリに対してCritical Pathを設定しました。

zt04.png

 

criticalpaths APIを用いてCritical Pathで定義したディレクトリに対してスナップショットを取得できるか確認します。今回はAPI Explorerで生成した下記CurlコマンドをFlowmonのコンソールから実行してみました。

 

curl -X POST --header 'Content-Type: application/json' --header 'Accept: application/json' --header 'api_key: <作成したAPIトークン>' -k 'https://egls.coffee.local/sera/v2/ransomware/criticalpaths' -d "{}"

 

下記のとおりPowerScale上でスナップショットが取得されたことが確認できます。

 

ps1-1# isi snapshot list
ID     Name                                            Path
---------------------------------------------------------------------
136961 SIQ-79e1bc9fa79891ed787bf68dcc5ec924-latest     /ifs/test
137019 igls-critical-path-ifs-important--1667902624569 /ifs/important
---------------------------------------------------------------------
Total: 2

 

各APIの動作確認は以上となります。今回はPOSTメソッド中心のご紹介となりましたが、GETメソッドについても簡単に利用することができます。

 

 


3. Flowmon ADSの設定

いよいよFlowmon ADSとZero Trust APIの連携に移ります。今回はFlowmon ADSでネットワーク上の異常を検知した際にPowerScale側で自動スナップショットとAirGapの完全隔離を想定して設定を行います。
lockout APIは先程『2.2 lockout APIの動作確認』実行した内容と殆ど同じですがuserパラメータにダミーのユーザ用いて実行します。ダミーユーザを用いる理由としましては、Flowmon ADSで何らかの異常を検知した際にロジックが複雑だと上手く自動化できないことが予想されるのと、ネットワーク上の不審な挙動によっては引数としてuserを渡せない可能性があるためです。

今回はあくまでもテスト目的ですので実際に導入される際には熟考する必要がありますが、ダミーのユーザを渡すことによりRansomware Defenderにイベントが通知されて共有に対するスナップショットの自動作成やAirGapの制御は可能ですのでダミーでも十分有効だと考えられます。また、この方法であれば闇雲にユーザのロックアウトは実施せずAirGapに格納されている重要なデータを保護することが可能です。
なお、ダミーと言ってもAD上にユーザが存在しないとAPI実行時にエラーになりますのでセキュリティホールにならないようにユーザ名とパスワードを複雑化してダミーユーザを作成しました。



 

3.1 パースペクティブの定義

はじめにパースペクティブを作成します。Flowmon ADSではパースペクティブを定義することにより監視や検知したい特定のイベントに対して独自の優先度を設定することができます。今回のテストではネットワーク上の端末や機器に対してポートスキャンが実行された際にZero Trust APIをコールしたいと思いますので"SCANS"のみを優先度重要に登録して"Ransomware issues"という名前で保存します。

ADS01.png

 

 

3.2 カスタムスクリプトの登録と設定

続いて、カスタムスクリプトを登録します。Flowmon ADSの「システム設定」->「カスタムスクリプト」からAPIをコールするカスタムスクリプトを選択します。カスタムスクリプト名は"Zero Trust API Test"としました。

スクリプト上で引数を定義することも可能ですが今回はシンプルに下記curlコマンドを1行登録しました。なお、ダミーユーザとして"flowmon-user-"にAPIトークンの文字列(51文字)を加えた形で作成しております。

 

curl -X POST --header 'Content-Type: application/json' --header 'Accept: application/json' --header 'api_key: <作成したAPIトークン>' -k 'https://egls.coffee.local/sera/v2/ransomware/lockout/<ダミーユーザ(flowmon-user-APIトークンの文字列)>%40coffee.local' -d "{}"

 

次に、カスタムスクリプトとパースペクティブを紐づけます。Flowmon ADSの設定から「処理」->「カスタムスクリプト」を選択して「新規カスタムスクリプトアクション」をクリックします。名前は"Ransomware Defender Event"として、スクリプトは先程登録した"Zero Trust API Test"を選択します。パースペクティブを定義した際に"SCANS"の優先度は"重要"で作成しておりますので、レポート対象の最小優先度は"高"のままで保存します。

ADS02.png

 

 

 

4. 攻撃シミュレーション

動作確認にあたり攻撃のシミュレーションを行います。Flowmon ADSはネットワーク全体を監視しているのでPowerScaleへの攻撃有無に限らずネットワーク上の不審な挙動を検知した際にはRansomware Defenderに通知させることが望ましいと考えられます。今回はネットワーク上に存在しているサーバに対してnmapでポートスキャンを実施しました。

実際にネットワーク上の異常を検知すると、下記スクリーンショットのようにFlowmon ADS上にイベントとして検出されます。

ATK01.png

 

Ransomware Defenderを確認するとFlowmon ADS側で検知した時刻と同じタイミング(Flowmon ADSで検知してから僅か1秒後)にイベントが発生したことが確認できます。。Ransomware Defenderでイベントが発生した時点で共有に対してスナップショットが自動で作成され、AirGapに対してネットワークの再接続は行われなくなりますのでAirGap内のPowerScaleクラスタは安全な状態で隔離しておくことができます。

ATK02.png

 

 

 

さいごに

企業や団体において最終的に保護したいのは重要なデータ(データ資産)だと思います。PowerScaleに置かれているデータ資産を保護する際にFlowmon ADSとRansomware Defenderだけでも多層防御の実現が可能ですが、Zero Trust APIを組み合わせることで単なるポイントソリューションではなくネットワークレイヤでの異常をプロアクティブに検知してデータを保護することが可能となります。本内容が皆様のPowerScaleにおけるサイバーレジリエンスを向上させるヒントとなれば幸いです。

 

 

 

参考情報

Integrated Cyber Security Defense Strategy

HOW TO DEPLOY A MULTI VECTOR CYBER DEFENSE SOLUTION

患者の医用画像の保護

 

 

 

バックナンバー

IsilonianTech 第1回 Isilonとオープンソース ~REX-Ray編~

IsilonianTech 第2回 Isilonとオープンソース ~OpenStack Manila編~

IsilonianTech 第3回 Isilonとオープンソース ~Isilon Data Insights Connector~

IsilonianTech 第4回 Software Defined Storage ~IsilonSD Edge~

IsilonianTech 第5回 Isilonとオープンソース ~Isilon-POSH~

IsilonianTech 第6回 Isilonとオープンソース ~Elastic Stack編~

IsilonianTech 第7回 Isilonとデータアナリティクス ~Cloudera編~

IsilonianTech 第8回 Elastic Cloud Storage (ECS) ~ECS Community Edition~

IsilonianTech 第9回 ISILON + ECS = UNLIMITED ~Isilon CloudPools~

IsilonianTech 第10回 Isilonとデータアナリティクス ~Isilon Ambari Management Pack~

IsilonianTech 第11回 OneFS 8.2リリース!

IsilonianTech 第12回 データファーストを支援するソフトウェア ~DataIQ~

IsilonianTech 第13回 vRealize Orchestratorプラグイン

IsilonianTech 第14回 超簡単!ファイルサーバ アセスメント ~Live Optics Dossier~

IsilonianTech 第15回 DataIQ プラグイン作成講座 ~概要編~

IsilonianTech 第16回 PowerScaleとデータアナリティクス ~CDP編~

IsilonianTech 第17回 DataIQ API操作講座 ~概要編~

IsilonianTech 第18回 PowerScaleとサイバーセキュリティ ~Ransomware Defender編~

IsilonianTech 第19回 PowerScaleとサイバーセキュリティ ~CAVA編~

IsilonianTech 第20回 DR Manager for PowerScale

IsilonianTech 第21回 Easy Auditor for PowerScale

IsilonianTech 第22回 Performance Auditor for PowerScale

IsilonianTech 第23回 Golden Copy for PowerScale

IsilonianTech 第24回 Search & Recover for PowerScale

 

 

 

安井 謙治
Dell Technologies│Unstructured Data Solutions
デル・テクノロジーズ株式会社 UDS事業本部 SE部

レスポンスがありません。

もっと見る

すべて表示

イベントは見つかりませんでした!

Top