ブログ

WAF はデータ パスのどこに適合しますか?

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2017 年 10 月 19 日公開

プロキシベースの Web アプリケーション ファイアウォール (WAF) は、アプリケーション保護の不可欠なコンポーネントです。 WAF は PCI-DSS 準拠の要件であるだけでなく、OWASP Top 10 に対する保護にも優れています。 また、シグネチャ更新の迅速なリリース、または場合によっては長期的なソリューションを展開しながらプログラム機能を使用してアプリケーションに仮想的にパッチを適用することで、ゼロデイ脆弱性に対処するための頼りになるソリューションでもあります。

問題は、そのような保護をどこに置くかということです。

もちろん選択肢はあります。 データ パスには、WAF を展開できる複数の挿入ポイントが含まれます。 しかし、すべての挿入ポイントがよいアイデアであるとは限りません。 効率が他よりも劣るものもあれば、許容できない障害点をもたらすもの、また時間の経過とともに重い利息のペナルティを招くアーキテクチャ上の負債をもたらすものもあります。

理想的には、負荷分散層の背後にWAF を展開します。 これにより、すべてのアプリ、特にインターネットに公開されるアプリに必要な保護を提供しながら、使用率、パフォーマンス、信頼性が最適化されます。

推奨配置: 負荷分散層の背後にある WAF
利用

負荷分散の決定に必要なリソース要件 (CPU など) は最小限です。 一般的に、LB が同時に数百万のユーザーをサポートできるのはこのためです。WAF では、ペイロード全体を検査し、署名とポリシーに照らして評価して、リクエストが有効で安全かどうかを判断するため、より多くの利用が必要になります。

最新のデータ センター モデルは、クラウドとその使用量ベースのコスト構造から多くの影響を受けています。 利用率は運用コストの重要な要素になります。 使用率が高くなると追加のリソースが必要になり、予算が消費されます。 したがって、利用率を最適化することは、データセンターとパブリック クラウド環境の両方でコストを抑制するための適切な戦略です。

信頼性

WAF を水平方向に拡張するのが一般的です。 つまり、LB を使用して WAF をスケーリングします。 このアーキテクチャ上の決定は、利用率に直接関係します。 多くの WAF は拡張性に優れていますが、フラッシュ トラフィックや攻撃によって圧倒される可能性があります。 WAF が LB の前に配置されている場合、それを個別にスケーリングするための別のLB 層が必要になります。そうしないと、パフォーマンスと可用性に影響を及ぼすリスクがあります。

代替配置: 1 つの負荷分散層の前と、別の層の後ろにある WAF
パフォーマンス

パフォーマンスは、アプリケーションエコノミーにおける重要な懸念事項です。 データがデータ パスを通過する際に、非常に多くの変数やシステムがデータとやり取りするため、パフォーマンスが低下している場所を正確に突き止めるのは困難であり、他の部分に影響を与えずにそれぞれを調整するのは困難です。 これまで何度も指摘されているように、システムの負荷が増加すると、パフォーマンスは低下します。 これは、使用率を最適化しないことによって生じる予期しない結果の 1 つであり、熟練したネットワーク設計者がネットワーク デバイスで 60% の使用率しきい値を使用する主な理由です。

LB 層の背後に WAF を展開すると、上流の指定された WAF 負荷分散層が不要になり、ネットワークの層全体が不要になります。 削減される処理時間はそれほど多くないように思えるかもしれませんが、接続の管理と WAF サービスのスケーリングに費やされる貴重な数マイクロ秒、そしてそれを再度実行して対象のアプリ インスタンス/サーバーを選択することは重要です。 LB 層の背後に WAF を展開してこの層を排除すると、貴重なマイクロ秒が返還され、今日のユーザーはそれに気づくだけでなく、感謝するでしょう。

可視性

可視性は、データ パスのセキュリティ ソリューションにとって重要な要件です。 ペイロードを含むフロー全体を検査する機能がなければ、WAF のセキュリティ機能の多くは意味をなさなくなります。 結局のところ、悪意のあるコードのほとんどはプロトコル ヘッダーではなくペイロード内に見つかります。 LB 層の後ろに WAF を配置すると、トラフィックが検査のために WAF に渡される前に SSL/TLS の復号化が可能になります。 これは、ロード バランサがリクエストを適切にルーティングする方法を決定するために、セキュリティで保護されたトラフィックに対する可視性を必要とする可能性が高いため、より望ましいアーキテクチャです。

推奨構成: セキュリティ強化のための復号化と検査

そうは言っても、WAF はデータ パス内のほぼどこにでも配置できます。 これは、ネットワーク パスの仲介として展開される L7プロキシ ベースのセキュリティ サービスです。 必要であれば、表面上はネットワークのエッジに配置することもできます。 しかし、パフォーマンス、信頼性、使用率を同時に考慮してアーキテクチャを最適化したい場合は、WAF を負荷分散層の背後、保護対象のアプリケーションの近くに配置するのが最善策です。

適切なツールを使用すれば、包括的な WAF カバレッジによって、リスクと運用コストを大幅に削減できます。 F5 のオンデマンド ウェビナーで、OWASP Top 10 やその他の脅威からアプリケーションを保護する方法の詳細を学び、同社のクラウドベースのSilverline WAFマネージド サービスなど、F5 WAF 機能を導入するさまざまな方法を検討してください。

F5 セキュリティ アーキテクトのBrian McHenry氏と主任脅威調査エバンジェリストのDavid Holmes 氏がこの記事に協力しました。 2019 年 8 月にマイナー編集が行われました。