メインコンテンツにスキップ
ブログセキュリティWebアプリケーションファイアウォールによるアプリケーションセキュリティのレベルアップ

Webアプリケーションファイアウォールによるアプリケーションセキュリティのレベルアップ

Web Application Firewallの概要 ヘッダー

クラウド上で動作するあらゆる規模のアプリケーションにとって、セキュリティは共有責任モデルです。クラウドプロバイダーは、より広範なネットワークとホストレベルでセキュリティレベルを確保しますが、ワークロードの保護に関しては、すべての開発者が利用可能なセキュリティのレイヤーを理解する必要があります。

WAFとは?

ウェブアプリケーションファイアウォール(WAF)は、悪意のあるトラフィックがアプリケーションと相互作用するのを防ぎ、不正アクセスからデータを保護します。TCP/IPレベルで保護レイヤーを作成する Cloud Firewallウェブ・アプリケーション・ファイアウォールは、TCP/IP レベルで保護レイヤーを構築するものですが、これと混同しないでください。ウェブ・アプリケーション・ファイアウォールの目的は、どのような種類のトラフィックが実際にアプリケーション・レイヤーに到達できるかを保護するために、微調整されたルールと動作検出を作成することです。ウェブアプリケーションは、クロスサイトスクリプティングやSQLインジェクションのような攻撃に対して脆弱であり、より広範なネットワークレベルのセキュリティ設定をバイパスすることができます。

Cloud Firewall - WAFダイアグラム
Cloud Firewall はレイヤー3(ネットワーク)レベルの保護であり、WAFはレイヤー7(アプリケーション)レベルの保護である。WAFにはネットワーク・ベース、クラウド・ベース、ホスト・ベースがある。上の例は、ファイアウォールがアプリケーション・スタックに存在するホスト・ベースのWAFに似ている。

ここで、現実の世界と比較してみましょう。WAFは、あなたがゲストとして建物に入るときの、建物のセキュリティの役割に似ています。セキュリティが進行する...

  • 入店の目的について問い合わせる
  • バッジやゲストパスを使って、特定のビルエリアへのアクセスを許可または拒否することができる
  • 建物内にいる間は、不審な行動を警戒してください
  • お帰りの際、バッジをお受け取りください
  • 終了したときのメモ

WAFを搭載したアプリケーションの場合、セキュリティガードはWAFの基本的な動作と目標を表していますが、Webトラフィックを監視するためのものです。

WAFを利用するタイミング

アプリケーションの進化に伴い、より大量のデータや様々な種類の機密データを扱うようになるかもしれません。ここでは、アプリケーション・セキュリティの向上を検討し、セキュリティ・ソリューションの実装方法を決定する際に考慮すべき重要な質問をいくつか紹介します。

  • アプリケーションはどのようにデータを使用するのですか?
  • どのようなデータを扱っているのでしょうか?
  • あなたが扱うデータにアクセスできる他のネットワークは?
  • データ漏洩が起きたら、ユーザーはどうなるのでしょうか?

これは、個人を特定できる情報(PII)の取り扱いに特に関連します。PIIには、パスポートID番号のような単一のデータもあれば、フルネームと生年月日の組み合わせのような、個人の身元を明らかにできる複数のデータもあります。

WAFは必ずしも必要ではありません。金融取引を行わず、ユーザーの電子メールを収集するだけで、コンテンツへのアクセスには暗号化されたパスワードが必要なシンプルなアプリケーションであれば、おそらくWAFを実行することは必須ではありません。基本的なカレンダーや予定表アプリケーションの場合、WAFを導入しても、この基本的な情報をさらに保護することはできません。

PIIトランザクションの量が中程度の小規模なアプリケーションを運用している場合、WAFを導入することは価値があります。適度なトランザクション量であっても、悪意のある行為者に特に狙われる可能性があります。また、アプリケーションを拡張する見込みがある場合、WAFを導入することでユーザーのデータを保護し、将来的にトランザクション量を増やすための労力を軽減することができます。 

大量の機密情報を処理・保存する大容量のeコマースやその他のアプリケーションでは、より多くのセキュリティが必要です。これには、堅牢なWAFの実装が必要です。このようなアプリケーションは、金融機関、医療機関、政府機関など、強力な保護が必要なデータに関して思いつくような大物企業である。

WAFを選択する

WAFの選択は、アプリケーションで扱うデータが要求するコンプライアンスレベルと、ワークロードが自己管理型ソリューションに最適か、必要な専門知識とコンプライアンスを備えた信頼できるセキュリティ企業にすべてのコントロールを委ねるか、という2つの主要因によって決まります。

他の技術サービスと同様に、WAFソリューションも自己管理型とベンダー管理型が混在しています。管理や更新が必要な無料のオープンソースWAFもあり、きめ細かな管理を望む開発者には向いています。 

大規模なワークロードや機密データを扱うアプリケーションでは、最新の脅威情報や潜在的な脆弱性に基づいて積極的に更新されるベンダー管理型のソリューションが有効です。評判の高いサイバーセキュリティ企業は、コンプライアンスレベルをリストアップして維持しており、アプリケーションと対話する際に、その製品がコンプライアンスに適合しているかどうかを判断します。これは、アプリケーションとデータそのものをホストするクラウドプロバイダーを選択する場合と同じ考慮事項です。

WAFソリューションには、リアルタイムの更新を含む監視の深さ、ログの保持、技術やビジネススタックの他の部分との統合などの追加機能があります。

適切なWAFソリューションの検索

オープンソースの自己管理型ソリューションから、強力な保護機能を必要とするアプリケーションまで、さまざまなレベルのWAFソリューションを提供します。

主要な攻撃からアプリケーションを保護し、ある程度の監視を行う、かなり基本的なWAFとしては、HaltdosCommunity WAFが最適です。Haltdosは、直感的なGUIを備えた自己管理型のソリューションで、受信リクエストの量、IPアドレス、リスクを監視するための上位攻撃IPを確認することができます。

LinodeMarketplace既存のリソースにインストール|詳細はこちら

PII を扱うエンタープライズ向けワークロードや大規模なアプリケーション向けに、アカマイのApp & API Protector は、OWASP API Security Top 10 の脆弱性を含む幅広い脅威からアプリケーションおよび API ネットワークを保護します。App & API Protector は、アカマイの脅威インテリジェンスおよび軽減チームによる機械学習分析およびデータを利用して、セキュリティの脅威、標準、および需要に対応し、継続的にセキュリティを強化します。

WAAPのガートナーレポートをダウンロードする|詳細はこちら

コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。