Top Trends in Cybersecurity for 2024 | 
概要
Edgecast(現Edgio)はメディア企業やグローバル企業向けのエッジソリューションを提供している。 最先端のグローバルエッジネットワーク上に構築されたEdgioの高品質な配信、コンピューティング、セキュリティ、ストリーミングソリューションは、世界最大級のウェブサイト、アプリ、OTTサービスを強化し、保護する。 当社は、お客様にとっての構成可能性と柔軟性の重要性を理解しており、そのため、お客様に制御を提供する多数のテクノロジーを提供している。 ルールエンジンはその一例に過ぎない。
EdgioのRules Engineでは、エッジネットワークでのリクエストの処理方法をカスタマイズできる。 デフォルトでは、Edgioはカスタマーオリジンから送信された全てのヘッダを優先する。 しかし、コンテンツや顧客のユースケースによっては、オリジンのデフォルトの動作を上書きするためにカスタムルールが必要になる場合がある。 Rules Engineとそれに関連するAPIは、柔軟性と設定性に優れている。 コンテンツ配信とセキュリティのニーズを比類のない精度で制御できる この記事では、いくつかの一般的なユースケースに飛び込み、Rules Engineで定義されたさまざまなルールを利用することで得られる利点を特定する。
ルールエンジンの機能
Rules Engineには多くの貴重な機能が含まれており、それぞれが一連の一致条件によって識別されるリクエストに適用されるアクションのタイプを定義する。一致条件は、一連の機能が実行される特定のタイプのリクエストを識別する。まず、顧客が利用できる機能のタイプを見てみよう。これらは、エッジネットワークがコンテンツに対するリクエストをどのように管理するかをカスタマイズする。
アクセス:これらの機能はコンテンツへのアクセスを制御する。 たとえば、トークン認証機能は、トークンベース認証を要求に適用するかどうかを決定する。 これは、データ、ファイル、またはページへのアクセスを、適切な権限を持つものだけに制限し、ロックするのに役立つ。 これにより、コンテンツや情報が権限のないユーザーと共有されるのを防ぐ。 その他のアクセス制御には、国や地理的な場所が含まれる。
<rule>
<description>Enable Token Auth</description>
<match.request.edge-cname.literal hostnames="origin.example-edgecast.com">
<feature.access.token-auth enabled="true"/>
</match.request.edge-cname.literal>
</rule>
キャッシング:コンテンツがいつ、どのようにキャッシュされるかをカスタマイズする機能。 Rules Engineには、Edgeがコンテンツを処理する方法を微調整するのに役立つ多数のキャッシュ機能が用意されている。 例えば、部分キャッシュ共有(PCS)は、部分的にキャッシュされたファイルを後続のリクエストでキャッシュヒットとして提供できるかどうか、またはエッジから提供する前にファイルを完全にキャッシュする必要があるかどうかを指定する。 イネーブルされると、PCSはオリジン負荷を低減し、性能を向上させる。 これは、ソースコンテンツへのオリジンリクエストが少なくなることを意味し、その結果、ホスト/オリジンでの帯域幅請求が少なくなる可能性がある。 並行して、キャッシュを最適化することで、可能な限りCDNエッジからコンテンツを提供することでパフォーマンスを向上させることができる。
<rule>
<description>Enable Partial Cache Sharing</description>
<match.request.edge-cname.literal hostnames="origin.example-edgecast.com">
<feature.caching.partial-cache-sharing enabled="true"/>
</match.request.edge-cname.literal>
</rule>
ヘッダ:これらの機能は、要求ヘッダや応答ヘッダをオンザフライで操作する。 たとえば、Modify Client Request Headerを使用すると、リクエストのヘッダーを上書き、追加、削除できる。 ユーザーはクライアントから送信されるデータやサーバーから受信するデータをカスタマイズすることで、ウェブサイトやアプリケーションの動作を制御できる。
<rule>
<description>Add CORS Header</description>
<match.request.edge-cname.literal hostnames="origin.example-edgecast.com">
<feature.headers.modify-client-response-header action="set" name="access-control-allow-origin" value="*"/>
</match.request.edge-cname.literal>
</rule>
ログ: UIベースの分析スイートの中で、生、リアルタイム、カスタムログを生成して、CDNとセキュリティトラフィックのフットプリントの詳細(または360度)ビューを表示できる。 これらの機能は、生のログファイルに格納されるデータをカスタマイズする。 たとえば、クライアントのIPアドレスをロギングおよびレポートの目的でマスクするかどうかを決定するMask Client Subnetは、 これは一般データ保護規則(GDPR)の遵守に役立つ。 世界的なフィンテック企業であるPlus500をサポートするために、リアルタイムログ配信を使用して、より迅速かつ安全なソフトウェアリリースを可能にした。
オリジン:これらの機能はCDNがオリジンサーバーとどのように通信するかを制御する。 例えば、Maximum Keep-Alive Requestsは、Keep-Alive接続がクローズされるまでの最大要求数を定義する。 これにより、要求に必要なTCP認証ステップの数を最小限に抑えることで、エッジのパフォーマンスを向上させる。
特殊:これらの機能は、CDNがオリジンまたはクライアントに対してどのように振る舞うかのための高度な機能を提供する。 たとえば、QUICルールを切り替えることで、クライアントに弊社のCDNサービスがQUICをサポートしていることを通知するかどうかを指定できる。 そうすることで、Edgioは最高のパフォーマンスを発揮するように最適化されたウェブページを提供することができる。
<rule>
<description>Enable QUIC</description>
<match.request.edge-cname.literal hostnames="origin.example-edgecast.com">
<feature.specialty.quic enabled="true"/>
</match.request.edge-cname.literal>
</rule>
User Variable:カスタムトラフィック処理ソリューションに渡されるユーザ定義変数に値を割り当てる。 これはカスタムバックエンドスクリプト言語(LUA)でよく使われる。 一つの利点は、ユーザがユーザ定義変数を静的な設定に注入して、サーバの負荷分散のためにバックエンドを制御できることである。
Rules Engineの機能と利点の概要。
ユースケース
HTTPをHTTPSにリダイレクトする: WebサイトやアプリケーションのトラフィックをTLS経由で強制しない場合、訪問者はブラウザに恐ろしいセキュリティ警告がポップアップ表示される。 ウェブサイトの訪問者は、安全でないサイトが情報を盗む攻撃に対して脆弱であることを知っている。 安全なサイトは信頼を植える。 それは訪問者にあなたが個人データを保護するためにあなたの部分をしていることを知らせる。 HTTPSはセキュリティとアクセシビリティを確保するための鍵であり、HTTPからHTTPSへのリダイレクトはRules Engineを使用して簡単に実行できる。 Edgioはまた完全に管理されたSecure Socket Layer (SSL)とSSLのためのキーボールト統合を介したBring Your Own Certificate (BYOC) SSLを提供する。
訪問者の地理とデバイスの種類を理解する:企業は、ウェブ資産の訪問者がどこから来ているか、どのような種類のデバイスが使用されているかを理解することで、豊富なインテリジェンスを得ることができる。 Rules Engineを使用すると、カスタムログフィールドを追加して、リクエストの地理的位置と使用されるデバイスタイプに関する洞察を提供できる。 HTTP変数はこれを容易にし、これらのメトリクスを生のログに追加することができる。 これにより、より徹底的なロギング、内部レポート、監視、洞察、およびトラブルシューティングが可能になる。
さらに、URLリダイレクト機能により、企業はエンドユーザーの地域に基づいて異なるURLにリクエストをリダイレクトできる。 これは、ウェブサイトの異なる地域固有のバージョン(例えば、異なる言語やテーマ)を維持している多国籍企業にとって特に有用である。
<rule>
<description>Language Redirect</description>
<select.first-match>
<match.location.country.literal result="match" codes="US">
<feature.url.url-redirect source="/80666BA/Origin1/(.*)" destination="%{scheme}://www.example-edgecat.com/us/$1" code="301"/>
</match.location.country.literal>
<match.location.country.literal result="match" codes="DE">
<feature.url.url-redirect source="/80666BA/Origin1/(.*)" destination="%{scheme}://www.example-edgecat.com/de/$1" code="301"/>
</match.location.country.literal>
</select.first-match>
</rule>
別の地域のユースケースはファームウェアのダウンロードに関連する。 多くの場合、グローバルに分散している顧客は、ファームウェアのダウンロード用の単一のURLを持っている。 しかし、エンドユーザエクスペリエンスを向上させ、サーバが過剰な要求で過負荷にならないようにするためには、最も近いリージョナルサーバから要求をプルする必要がある。 Rules Engineでは、URL書き換えを適用して、要求を開始したジオロケーションに基づいてリージョナルサーバにリクエストを再ルーティングすることができる。
<rule>
<description>Rewrite for Regional Origin Servers</description>
<select.first-match>
<match.location.country.literal result="match" codes="US">
<feature.url.url-rewrite source="/80666BA/Origin1/(.*)" destination="/80666BA/Origin-US/$1"/>
</match.location.country.literal>
<match.location.country.literal result="match" codes="DE">
<feature.url.url-rewrite source="/80666BA/Origin1/(.*)" destination="/80666BA/Origin-DE/(.*)"/>
</match.location.country.literal>
</select.first-match>
</rule>
コンテンツへのアクセスを拒否する:オンラインビジネスがコンテンツへのアクセスを拒否またはブロックする必要がある理由はたくさんある。 ジオブロッキングは、エンドユーザーの場所に基づいてコンテンツへのアクセスを制限する。 これは、企業が経済制裁やプライバシー法を遵守したり、セキュリティ上の脅威を阻止したりするために必要な場合がある。 ジオブロックルールは、地域コードや国コードを含むさまざまな位置一致条件を使用してコンテンツへのアクセスを拒否または許可するようにRules Engineで設定できる。
<rule>
<description>Deny RU Access</description>
<match.location.country.literal result="match" codes="RU">
<feature.access.deny-access enabled="true"/>
</match.location.country.literal>
</rule>
顧客はトークンベース認証を使用してコンテンツへのアクセスを拒否することもできる。 これには、正確な地理位置、URLパス、さまざまなヘッダーやCookieの値、ファイル名、IPアドレスなど、受信リクエストの多数の特性に基づいてコンテンツへのアクセスを拒否または許可することが含まれる。 GeoblockingはネットフリックスやHuluのようなストリーミングサービスで、インターネット上で配信するコンテンツのライセンス法を遵守するために使用されている。
Cache-control : Rules Engineを使用すると、エッジサーバーでコンテンツをキャッシュする方法を微調整できる。 コンテンツと配信の要件に応じて適用できるキャッシュルールは数十にある。 いくつかのユースケースの例:
- CDNはデフォルトで、オリジンが設定したキャッシュディレクティブに従う。 しかし、オリジンがキャッシュをバイパスするように要求した場合、顧客はこのディレクティブを無視してアセットを配信用にキャッシュすることができる。 これにより、Rules Engineを使用したキャッシュ制御が簡素化され、顧客がオリジンを変更する必要がなくなる。
- External Max-Ageルールにより、ブラウザからエッジサーバーキャッシュの再検証を制御できる。 言い換えれば、顧客はブラウザがエッジサーバーからアセットの新しいバージョンをチェックするまでの時間を指定できる。
- Stale While Revalidateルールは、再検証が行われている間、エッジサーバーが古いコンテンツをリクエスタに提供できるようにすることでパフォーマンスを向上させる。 CDNが失効したコンテンツを配信する可能性があるTTL(Time-to-Live)の有効期限を過ぎた時間を、顧客が完全に制御できる。 これのバージョンは、[エラー時のコンテンツ配信の停止]ルールである。 これは、キャッシュの再検証中、またはオリジンサーバから要求されたコンテンツを取得するときに、エラーが発生したときに、期限切れのキャッシュコンテンツを提供するために使用できる。 顧客は、エラーをエンドユーザーに転送するよりもこれを好む場合がある。
- ネガティブキャッシングは、エラーを生成するような要求の急増からオリジンを保護するために、Rules Engineを介して特定の障害を短時間キャッシュするように設定することもできる。 我々は、この構成が要求を満たすことができないときにオリジンからの圧力を軽減することを見てきた。 これは、4xxまたは5xxリクエストでのオリジンスパイクを減らすようにユーザーが設定できる優れた機能である。
- Rules Engineのストリーミング最適化機能は、ライブストリームのパフォーマンスを最適化し、オリジンサーバーの負荷を軽減するためにキャッシング設定を調整するのに最適である。
お客様のニーズに応じて独自の構成
同じ顧客は2つもなく、同じ業界の2つの企業であっても、コンテンツ要件が異なることはわかっている。 Rules Engineでは、コンテンツを処理するためのネットワークの設定方法を完全に制御できる。 私たちは、大小の企業と協力し、あなたのコンテンツの専門家の配信を満たすために私たちのネットワークが微調整されていることを確認することができる。
Rules Engineがコンテンツと配信のニーズをどのようにサポートするかについては、お問い合わせ。
