Home 技術記事 WAF管理をシンプルに
Applications

About The Author

Outline

企業のインターネットに接続するアプリケーションのセキュリティ管理者として、CVE、アラート、アップデート、パッチの定期的なサイクルを管理するのが一般的な1日です。 新しいアプリケーション、機能、APIエンドポイントなど、アプリケーションスタックに継続的な変更を加えることは、To-Doリストが圧倒されると言うのは控えめな表現です。 あなたの一日に仕事を追加することは理想的ではありません。 WAFSが役立ちます。 ほとんどのWAFでは、仮想パッチとして機能するルールを導入して、パッチを導入する準備ができていない場合やパッチが存在しない場合に脆弱性から保護できます。 これらのパッチによって、ヘッダー、クエリー、Cookieなどのリクエスト要素ごとに個別のルールが作成される可能性があります。 しかし、ゼロデイ脆弱性から保護するためのツールとして始まったものは、複雑さを引き起こし、管理上の負担を増やす可能性があります。 すべてのアプリケーションを追跡するだけでなく、WAF内のさまざまな要素を管理する必要があります。

時間の節約と変更の迅速な導入

WAFソリューションには、Security Application Manager(SAM)とSecurity Rules Manager(SRM)という2つの新機能が導入されました。 Security Application Managerは、アプリケーションスタック全体にわたるこの複雑なセキュリティ更新プログラムの管理を容易にするポリシーの傘です。 この機能は、異なるソフトウェアスタックやプラットフォームで複数のアプリケーションを実行し、それぞれに異なるアップデート、パッチ、脆弱性、および開発チームがある場合に最も役立ちます。

SAMを使用すると、1つのルールで動作を複製できます。 時間を節約し、より効率的で、より高速です。 これで、管理するルールの数が減りました。

SAMはSRMと連携して、悪意のあるトラフィックや不要なトラフィックからアプリケーションを保護します。

以前のバージョンでは、サイトを保護するために、Media Control Centerのさまざまなセクションを変更する必要がありました。 WAFルールを設定するには、Rules EngineでWAFインスタンスのルールを追加し、WAF Instance Managerでプロファイルとアクションを設定し、WAF Profile Managerでポリシーを定義する必要がありました。 レート制限を設定するには、ホスト名とパスの一致、条件、しきい値、および適用に関するルールを別のセクションで設定する必要がありました。

図1:以前のバージョンでは、以下に示すMedia Control CenterルールビルダとMedia Control Centerセキュリティ内でインスタンスを設定する必要がありました。

図2:Media Control Centerのセキュリティ

新しいバージョンでは、Media Control Centerの[セキュリティ]セクションにすべての設定を追加することで、このアプローチを簡素化しました。このセクションには、SRMとSAMがあります。

図3:セキュリティルールマネージャ

SRMプラットフォームには、アクセスルール、管理ルール、レートルール、カスタムルールなどのすべての保護ルールが含まれています。

SAMは、特定のアプリケーションすべてと、それらを保護する方法を定義します。 保護するアプリケーション、使用するSRMルール、およびルールがトリガーされたときに実行するアクションのタイプを定義します。

このモジュール化されたセキュリティソリューションには、次のような多くの利点があります。

  • 変更を迅速に展開できます。
  • 管理はよりモジュール化され、直感的です。 特定のホスト名とURLパスに適用するルールを指定できます。
  • ルールを一度設定して複数のアプリケーションで使用することで、時間を節約できます。
  • この保護はより柔軟で、カスタムルールを作成して展開できます。
  • デュアルWAFモードなど、以前のバージョンのすべての利点を引き続き使用できます。

最後に、WAFプラットフォームはスタンドアロンソリューションとなり、他のCDN構成とは独立して動作します。

新しいWAFの動作を見てみましょう。

この例では、架空の企業のために、ブログ、フォーラム、APIの3つのアプリケーションを保護します。 次のドメインを使用します。

  • blog.example.com
  • forums.example.com
  • api.example.com

1つのアクセスルール、1つの管理ルール、および1つのレートルールを作成し、すべてのアプリケーションで共有します。 APIアプリケーションでのみ使用される2番目のレートルールを作成します。

最初の手順では、新しいアクセスルールを作成します。

このアクセスルールには、「すべてのプロパティACL」という名前を付けました。 また、許可されたHTTPメソッドでHEADをオフにして、HEADを使用してリクエストをブロックします。

図4:新しいアクセスルールの作成

次に、新しいレートルールを作成します。

このレートルールを「すべてのプロパティRL」と名付け、1分あたりの50リクエストのレート制限を使用して「IPアドレスとユーザーエージェント」プロパティに適用しました。

図5:新しいレートルールの作成

次に、APIアプリケーションにのみ使用する別のレートルールを作成します。

このレートルールを「API RL」と名付け、1分あたりの10リクエストのレート制限を使用して「IPアドレスとユーザーエージェント」プロパティに適用しました。

図6:新しいレートルールの作成

最後に、新しい管理ルールを作成します。

このルールの名前を「すべてのプロパティを管理」にし、[設定]タブのすべてのデフォルトを受け入れました。 [ポリシー]タブでは、最新のEdgioルールセットを自動的にオプトインして、最新のバージョンが自動的に使用されるようにしました。

図7:新しい管理ルールの作成

SRMでルールを作成したので、SAMで3つの新しいアプリケーションを作成します。 ブログ、フォーラム、およびAPIアプリケーション用に1つのアプリケーション。

新しいアプリケーションごとに、特定のホスト名(blog.example.comなど)を入力し、URLパスをデフォルトのままにして、すべてのパスで一致するようにします。

各SAMのRulesセクションで、All Properties ACLアクセスルール、All Properties Managedルール、およびSRMで作成したAll Properties RLレートルールを再利用します。 ルールがトリガーされたときに実行するアクションとして、[Block Request]を選択します。

図8:すべてのプロパティのACLアクセスルールの適用

API RL Rate Ruleは、APIアプリケーションにのみ適用されます。 これを行うには、APIアプリケーションを編集して、この追加ルールを含めます。 ここでは順序が重要なので、API RL Ruleを一番上にドラッグ&ドロップします。

図9: APIレート制限ルールの適用

最後に、SAM構成の最終ビューが表示され、各アプリケーションのアクセスルール、レートルール、管理ルールが表示されます。

図10:Security Application Managerの設定の概要

Security Rules Managerでルールを作成し、Security Application Managerアプリケーションに適用する方法について学習しました。 SAMを使用してアプリケーションを保護するために利用可能な多くのオプションと機能を確認することをお勧めします。

それでは、WAFを含む当社のセキュリティソリューションの詳細についてご説明します。