ブログ

F5 マネージドルールで AWS WAF をレベルアップ

トム・アトキンス サムネイル
トム・アトキンス
2021年10月21日公開


Forrester の 2021 年アプリケーション セキュリティの現状レポートによると、昨年のすべてのサイバー攻撃の 39% が Web アプリケーションを標的としており、それには十分な理由があります。 Web アプリは一般に公開されており、その広範な表面積と常に存在するコードの脆弱性のリスクにより、保護が非常に困難であることが知られており、攻撃者が成功する可能性が高くなります。 Positive Technologiesの調査によると、侵入テストを行ったところ、ワークロードには平均 22 件の潜在的なセキュリティ脆弱性が含まれており、そのうち 5 件に 1 件は重大度が高いと判断されました。 当然のことながら、この調査で発見された脆弱性は、図 1 に示すように、 OWASP Top 10を構成する脆弱性が大部分を占めていました。

最も一般的な OWASP トップ 10 の脆弱性が特定されました
図1: Positive Technologies の Web アプリ調査で特定された最も一般的な OWASP トップ 10 の脆弱性

現在、AWS クラウドでアプリケーションを実行する場合、アプリケーション開発者は、ワークロードをできるだけ早く起動して運用できるようにすることを優先し、アプリケーション セキュリティを「ジョブ ゼロ」対策として実装することの重要性を無視することがあります。 AWS は、アプリのセキュリティを軽視する傾向を認識し、多くの組織が社内にセキュリティの専門知識を欠いていることを認識して、使いやすさと迅速な運用化を実現するように設計された独自のネイティブ Web アプリケーション ファイアウォール (WAF) を開発しました。 AWS WAF は迅速かつ簡単に実装できますが、リソースを保護するためにユーザーが設定した Web アクセス制御リスト (ACL) が必要であり、さまざまなワークロードのニーズを満たすために大幅にカスタマイズされるように設計されています。 ただし、WAF のカスタマイズは、特定のアプリとドメインの知識、および現在の脅威の状況に関する確かな理解が必要となるため、困難なプロセスになる可能性があります。

そのため、AWS は F5 を含むさまざまなセキュリティベンダーと提携して、AWS WAF インスタンスにアタッチできるさまざまなマネージドルールセットを提供し、さまざまな Web アプリや API 攻撃タイプを軽減できるようにレベルアップしました。 AWS WAF のお客様がカスタム F5 WAF ルールセットを WAF インスタンスにアタッチすると、AWS ユーザーはシンプルさと使いやすさを維持しながら、より高度な脅威を軽減できます。

図2: F5 マネージドルールを AWS WAF にアタッチして脅威を軽減する
図2: F5 マネージドルールを AWS WAF にアタッチして脅威を軽減する

F5 は現在、それぞれ異なる脅威タイプに対する保護を提供する 4 つの独自のルールセットを提供しています。

  1. OWASP トップ 10 Web エクスプロイト保護ルールセット: クロスサイト スクリプティング (XSS) 攻撃、インジェクション攻撃など、OWASP Top 10 に含まれる脆弱性を悪用しようとする攻撃を軽減します。
     
  2. ボット保護ルールセット: すべての受信リクエストを分析し、DDoS ツール、脆弱性スキャナー、Web スクレーパー、フォーラム スパム ツールなどの悪意のあるボットのアクティビティをブロックします。
     
  3. API セキュリティ ルールセット: API レベルの攻撃、XML 外部エンティティ攻撃、サーバー側リクエスト偽造 (SSRF) の悪用から保護し、XML と JSON ペイロード、および一般的な Web API フレームワークの両方をサポートします。
     
  4. 共通脆弱性識別子 (CVE) 保護ルールセット: Apache、Java、MySQL、WordPress などの一般的なシステムで見つかる有名な CVE から防御します。

これらの各ルールセットは F5 のセキュリティ専門家によって作成、管理され、定期的に更新されるため、お客様は AWS WAF ユーザーによる介入を必要とせずに、進化する脅威からアプリを保護できます。 ルールが新規または既存のAWS WAFインスタンス、AWSアプリケーションロードバランサー、またはAWS CloudFrontに適用されるかどうかにかかわらず、F5ルールセットはAWS WAFコンソールから数回クリックするだけで数分でアタッチできます。

各ルールセットの詳細については、それぞれのAWS Marketplaceリストをご覧ください。

AWS WAF で当社のルールを試すことを検討していて、質問がある場合やサポートが必要な場合は、サインインして F5 DevCentralコミュニティ サイトで質問してください。 弊社の技術専門家または優れたコミュニティのメンバーが、開始のお手伝いをいたします。 以下のサポート リソースで詳細を確認したり、 F5 の営業担当者に問い合わせて追加サポートを受けることもできます。

 

追加リソース: