Amazonデプロイメント用のSnort IDS
Snortは、Amazon EC2でネットワークとウェブアプリケーションのトラフィックを監視するのに適していますか?そうでない場合、なぜ、どのIDSを提案しますか? Snortは、XSS、SQLインジェクションの監視、ブルートフォースアカウントのブルートフォース、ユーザーの列挙、およびWebアプリに対するDDoSの検出に適していますか?
SnortはLinuxベースのロードバランサー(haProxy)にインストールできます。ただし、パフォーマンスボトルネックや単一点障害を引き起こさないAlert Logicなどの商用ツールがどこにあるべきかはわかりません。
AWSの経験はあまりありませんが、主な目標がXSS、SQLインジェクションなどのWeb関連のエクスプロイトから保護することであれば、Webアプリケーションファイアウォールの方が効果的です。 Snortには確かにこれらのルールが用意されていますが、私の経験では、Webアプリケーションファイアウォールの方が適しています。このスレッドは、なぜこれがよくあるのかについての良い説明があります: IPS mod_securityの代替として
Apacheを使用している場合 mod_security が最も一般的なWAFです。 DDoSとブルートフォース保護については、 mod_evasive をご覧ください。
もちろん、Snortもかなりうまく機能し、WAFがしないことから保護します。したがって、追加のリソース使用量が問題にならないのであれば、追加の保護レイヤーとしてSnortを実行しても害はないと思います。
ただし、最終的には、Webアプリケーションを保護する最善の方法は、Webサイトのソースコードを監査して、これらの脆弱性がそもそも存在しないことを確認することです。 IDSとWebアプリケーションファイアウォールは優れていますが、サイトに脆弱性がある場合、断固とした攻撃者がそれを悪用する方法を見つけます。