多層防御とは、複数の独立したセキュリティ管理レイヤで構成されたセキュリティ戦略を指し、あるレイヤに障害が発生したり侵害されたりしても機能を継続できます。これには一般に、人員、テクノロジ、運用など、さまざまなセキュリティ管理が含まれます。これらの管理レイヤを階層化することで、データ処理中にある管理レイヤで攻撃を緩和できなくても、同じシステム内の別の管理レイヤで攻撃をブロックできます。

多層防御戦略を実現するにはさまざまな方法があります。技術的要素に関しては、以下の3つの項目から検討することをお勧めします。

  1. サービス拒否(DoS)対策:DoS対策を導入してDoS攻撃をブロックすることで、アプリケーションに過負荷をかけることができなくなり、カスタマ エクスペリエンスの質と予測可能性が向上します。DoS対策の効果を最大限に発揮させるには、すべてのアプリケーション、API、サービスに加え、他のトラフィック管理ツールやセキュリティ ツールもカバーされるように、境界上にグローバルに導入します。また、DoSソリューションは分散型サービス拒否(DDoS)攻撃もブロックするので、効果が最大化します。DDoS攻撃とは、多数のボットや侵害されたシステムを利用して特定のWeb資産、アプリケーション、1つまたは複数のIPアドレスに大量のトラフィックを送り付ける攻撃です。
  2. Web Application Firewall(WAF):DoS対策レイヤとロード バランサまたはIngressコントローラの間にWAFを導入します。WAFは、OWASP Top 10の脆弱性などを標的とした巧妙なレイヤ7攻撃を阻止します。WAFは、特定のユース ケースのためにユーザーが定義したカスタム設定に対応できるだけでなく、セキュリティ慣行に精通していない開発者向けに、強力ですぐに使える設定済みのデフォルトの保護機能を備えたものでなければなりません。
  3. 認証と認可:ロード バランサ、APIゲートウェイ、Ingressコントローラなどのトラフィック管理ツールが、アプリケーションやインフラストラクチャへのすべてのアクセス要求を認証と認可の対象とするように適切に設定されていることを確認します。これは、サービスが疎結合されていてAPIを介して通信するため外部からもアクセス可能な、Kubernetesやマイクロサービス指向の環境では特に重要です。認証機関を含む堅牢で継続的な認証プロセスに加え、人間を介在させる場合は多要素認証(MFA)を構築することで、あらゆる接続の正当性を常に疑い、検証して、攻撃対象を減らすことができます。

F5 NGINXがお手伝いできること

NGINX App Protect WAFによってブロックされる8種類の攻撃とDoSを示した図