こんにちは。CnS技術統括部のumeです。
久々にInfobloxのDNSセキュリティをテーマに記事を書こうと思います。
過去にも紹介したことがありましたので当時の記事も貼っておきます。
・・・と、日付見たら約3年前。
内容もアプライアンスベースですね。
現在はどうかというと、アプライアンスでの提供もそのままにInfobloxのセキュリティソリューションもクラウドサービスに移行が進んでいます。
その代表が「BloxOne Threat Defense」、略して「B1TD」です。
Oneが数字の1になってます。
ということで今回はBloxOne Threat Defenseについて紹介したいと思います。
BloxOne Threat Defenseのライセンス種別
BloxOne Threat Defenseは4種類のライセンスがあります。
- Advanced:オンプレ・クラウドサービス統合形のプレミアムなセキュリティ・バンドル
- Business Cloud:クラウド専用の中級グレードなセキュリティ
- Business On-prem:オンプレ専用の中級グレードなセキュリティ
- Essentials:低価格でオンプレ専用の初級グレードなセキュリティ
BloxOne Threat Defense Essentials
Essentialsは、旧名だと「DNS Firewall」や「Active Trust」という名前で提供されておりました。そのため、過去にこれらのライセンスを購入して利用されている方はEssentialsに移行されております。
また、B1TD Essentialsになったタイミングで、Threat Insightの機能提供も含まれるようになりました。
このEssentialsのライセンスは、オンプレのInfobloxにライセンスキーを適用して使用するタイプです。
内部的にはRPZ(Response Policy Zone)を使用して外部から悪意のあるドメインのブラックリストを受信し、DNSレベルで接続防止する仕組みです。
また、Threat Insightの機能を使用して検知した怪しいクエリを、RPZに登録してブロックする、といったことも可能です。
BloxOne Threat Defense Business On-Prem
Business On-premは、Essentialsをベースにして以下の3つが追加されます。
- 提供されるブラックリスト情報が増加
- EcoSystem(他社製品のAPI連携)機能
- Dossier(ドシエ)が使える ※年間32,000クエリまで
Business On-Prem 機能イメージ図
他社製品とのAPI連携については、多数のソリューションがあり話が長くなってしまうので次回以降の別記事で記載したいと思います。
ここではDossierについて触れておきます。
Dossierとは
DossierはURLやIP、ドメイン、ファイルのハッシュ値などの情報をキーにして脅威情報の調査ができるツールです。
Infoblox社のCloud Service Portal(CSP)のアカウントが発行され、このCSPにログインして使用します。
Dossier 検索画面イメージ
URL/IP/ドメインであれば脅威レベルや、現在もアクティブかどうか(例えば過去C2サーバに使用されていたが、現在は使用されていないなど)、
ファイルであれば、アンチウイルススキャン結果などを参照することができます。
さらに以下のような情報も提供されます。
- ドメインとIPの組み合わせの履歴を表示
- ドメインに関するレポートやブログなどのリンクを表示(存在する場合)
- WHOISの情報やIPのジオロケーション情報を表示
- 関連するURLやメールアドレス、IPアドレスといった情報をリンクで表示
B1TDでブロックされたドメインを検索したり、受信したあやしいURLが記載されたメールを調査したりと、深い調査ができますのでこれを使えるようにするだけでも十分価値があるのでは、と思います。
BloxOne Threat Defense Business Cloud
Business Cloudは、名前にCloudと付いている通りSaaSでありオンプレ製品の提供はありません。
Essentialsで提供されていたDNS-FWやThreat Insightの機能を持ったDNSサーバがInfoblox社管理のクラウドに用意され、そのサーバを参照することで、DNSのセキュリティが担保されたリカーシブサーバとしての機能を使うことができるサービスです。
Business Cloud 機能イメージ図
また、クライアントにインストールするエンドポイント用アプリケーションも提供されており、テレワークで使用する端末やモバイル機器などに導入することで、環境に依存せずにDNSのセキュリティレベルを保つことができます。
セキュリティの設定やエンドポイントアプリケーションの管理、セキュリティイベントの検知確認やDNSクエリのログ確認など、すべてCSP上で行うため、管理がしやすいのも特徴です。
現時点では残念ながらコンテンツサーバとしての機能はありませんが、ロケーションを問わずDNSレベルでセキュリティを高められるこのサービスは、現在の多様化した働き方に合っているのではないかと思います。
BloxOne Threat Defense Advanced
Advancedは、Essentials/Business On-Prem/Business Cloudすべての機能を使えることに加えて、以下の特徴があります。
- Dossierのクエリ数が倍の64,000件まで可能
- Advancedのみに提供される脅威情報がある
- Cloud上でのセキュリティイベントをトリガーにオンプレのInfobloxを介して他社製品とAPI連携ができる
- TIDE(タイド)が使える
TIDEはThreat Intelligence Data Exchangeの略で、Infoblox社が提供する脅威情報管理プラットフォームです。
TIDE 機能イメージ図
サードパーティーの脅威情報を含むデータの収集・管理ができ、これをJSON、STIX、CSV、TSV、CEF、XML、RPZなど様々な形式で外部に提供することが可能です。
終わりに
今回はInfobloxのBloxOne Threat Defenseについて、大枠を紹介いたしました。
ライセンスが複数あり、オンプレ前提のもの、クラウド専用のもの、ハイブリッドのものがあり
それぞれ使える機能が違う点をご理解頂ければ幸いです。
次はInfobloxを使用したEcoSystem連携について記載したいと思います。
