X

クラウド・セキュリティの考え方、コンプライアンス、製品・サービス(データベースセキュリティ・IDaaS・WAFなど)

  • April 2, 2019

Oracle Cloud Infrastructure Web Application Firewallのご紹介

原文はこちら
https://blogs.oracle.com/cloud-infrastructure/introducing-the-oci-waf


Oracle Cloud Infrastructure上のワークロード、また、マルチクラウドのWebアプリケーション向けのOracle Cloud Infrastructure Web Application Firewall (WAF)をリリースしたことをご案内します。Oracle Cloud Infrastructure WAFは、インターネットに面するWebアプリケーションを悪意のサイバー攻撃やスクレイピング・ボットから防御するための、エンタープライズグレードでクラウドベースのセキュリティソリューションです。2018年のOracleとKPMGによるクラウド脅威レポートによれば、回答者の51%が、不正アクセスから組織の機密データを守る方法としてWebアプリケーションファイアウォールが最も優先度が高いと回答しています。

今日では、Webアプリケーションはデジタルビジネスの中核を成していますが、サイトに侵入しようという悪意を持った者によるサイバー攻撃の脅威に恒常的にさらされています。もし侵入を許せば、データを盗まれたり、不正なソフトウェアをサイトを訪れるお客様に広められてしまったり、評判を傷つけられたりしてしまいます。なのでクラウドにワークロードを移行しようとしているすべての企業にとってセキュリティが一番の関心事であること、また、Webアプリケーションファイアウォールが今日のデジタルビジネスにとって絶対必要だとみなされることに不思議はありません。Webアプリケーションファイアウォールなしでは、多くの企業は重要なアプリケーションやデータ、サービスをクラウドに移行しようとも考えないでしょう。Oracle Cloud Infrastructure WAFは、Oracle Cloud Infrastructure、オンプレミス、マルチクラウドのワークロードに安全と安心を提供します。

WAFサービスはサイバー攻撃から多層的なアプローチでWebアプリケーションを守ります。今回のリリースでは、Open Web Access Security Project(OWASP)のものや特定のアプリケーション、特定の規制準拠のためのものなど、250以上の定義済みルールが含まれています。WAFにはまた、Webroot BrightCloud®を含む複数のソースを統合した脅威インテリジェンスも提供します。管理者はアクセス制御を地理、IPアドレスのホワイトリスト/ブラックリスト、HTTP URLやヘッダの特徴にもとづいて行うことができます。ボット対策にはJavaScript受け入れ、CAPTCHAやデバイス・フィンガープリント、ヒューマンインタラクション・アルゴリズムなどのより高度なチャレンジを提供しています。WAFサービスにアプリケーションを登録しておくことで、レイヤー7 分散型サービス拒否(DDoS)攻撃から守ります。

WAFの仕組み

Oracle Cloud Infrastructure WAFはリバースプロキシとして動作し、通信フローやリクエストがもとのWebアプリケーションに到達する前に監査をします。また、Webアプリケーションサーバからエンドユーザーへのいずれのリクエストも監査します。


この強力なサービスによって、アプリケーションサーバからのデータ漏えいを制御し、外部の脅威からサーバを守ることができるようになります。


WAFの統合

Oracle Cloud Infrastructure WAFは他のOracle Cloud Infrastructureのアプリケーション、サービスとコンソール上で密に統合されており、セットアップと管理が簡単にできます。たとえば:

  • WAFのポリシーにタグを付け、コストを追跡する
  • ID管理・アクセス制御(IAM)を用いてWAF管理へのアクセス制御を行う
  • 監査サービスにWAFの変更を記録

WAFはEdgeサービス・メニューの配下にあります。受動検知用の定義済みルールを有効にしたり、Webアプリケーションのリバースプロキシ―として個別のルールでWAFにブロックを行わせたりできます。

WAFを通ったトラフィックのログはコンソール上で分析することもできますし、エンタープライズSIEMに引き入れることもできます。

コンソール上での統合に加えて、WAFでは堅固なRESTful APIの利用も可能です。これには複数の言語のSDK、CLIおよびTerraformが含まれます。

主要なユースケース

以下はWebアプリケーションファイアウォールのユースケースの一部です:

  • サイバー攻撃からの防御:Oracle Cloud Infrastructure WAFはクラウドベースで提供され、OWASPのルールセットに加え、250のルールセットをサポートしています。こうしたルールを使い、重要なWebアプリケーションを悪意のサイバー攻撃から守ります。インカミングリクエストはこれらのルールにより攻撃ペイロードを含んでいないか評価されます。リクエストが攻撃であると判断された場合、WAFはそのリクエストをブロックするか、またはアラートを挙げます。こうした攻撃は多種多様で、SQLインジェクションやクロスサイトスクリプティング、HTMLインジェクションなどの脅威を含んでいますが、いずれもWAFルールで検知、ブロックが可能です。
  • データプライバシー標準のためのアクセス制御:アクセス制御を用いて重要なWebアプリケーション、データやサービスへのアクセスをコントロールします。例えば、リージョンベースのアクセス制御はEUのGDPRコンプライアンス要件に適合します。しばしば、あるサービスの提供をGDPRに則った特定の地域に限る必要があります。リージョンベースのアクセス制御を用いてユーザーアクセスをある地域に限定し、たとえばアメリカにあるサーバーから情報を取得できないようにする、といったことが可能です。あるいは、特定の国からのアプリケーションアクセスを完全にブロックするといったこともできます。たとえば、アジアの国々とのビジネスを行っていない場合に、それらの国々からのアクセスをブロックする、といったことも出来ます。
  • 既存の管理システムとの統合:RESTful APIは、WAFへの完全なシステム間インターフェースを提供します。すでにバックエンドの管理システムを保持しており、コンソールは不要なので、WAFを既存管理システムと直接統合したいというときに理想的です。
  • ボット対策:インターネット上では、ボットによるトラフィックは人間によるそれよりも多くなっています。ボットの大半は悪意のないものですが、しかしそれゆえ単にボットを全てブロックしてしまうということもできません。JavaScriptチャレンジ、CAPTCHAチャレンジ、ホワイトリスト機能をWAFルールセットと併せて用いることで、良性ボットをとおして悪性ボットをブロックすることが可能です。
  • ハイブリッド・マルチクラウドの保護:多くのクラウドプロバイダがWebアプリケーションファイアウォールの防御を自身のクラウド上のアプリケーションのみに制限しています。Oracle Cloud Infrastructure WAFではそのようなことはありません。Oracle Cloud Infrastructure上のワークロードに加え、WAFはオンプレミスとマルチクラウド環境も防御します。Oracle Cloud Infrastructureへの移行にあたり、単一のWebアプリケーションファイアウォールでいずれの環境も防御できるというのは非常に重要なことです。移行のそれぞれのフェーズ―クラウド上でのテスト、移行とカットオーバーでWAFがあなたの環境を防御します。

まとめ

Oracle Cloud Infrastructure WAFは、もはやVPNや専用線の必要なしにインターネットに接するWebアプリケーションを実現するための鍵となります。Oracle Cloud Infrastructure WAFについての詳細は、こちらのWebサイトまで。

関連情報

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.