Web アプリケーション ファイアウォール (WAF) とは何ですか?
Web アプリケーション ファイアウォール (WAF) は、クロスサイト スクリプティング (XSS) 、 SQL インジェクション、 Cookie ポイズニングなどのさまざまなアプリケーション層攻撃から Web アプリケーションを保護します。 アプリへの攻撃は侵害の主な原因であり、貴重なデータへの入り口となります。 適切な WAF を導入すれば、システムを侵害してデータを盗み出そうとするさまざまな攻撃をブロックできます。
WAF は、Web アプリケーションに送信される悪意のある HTTP/S トラフィックをフィルタリング、監視、ブロックすることで Web アプリケーションを保護し、許可されていないデータがアプリケーションから流出するのを防ぎます。これは、悪意のあるトラフィックと安全なトラフィックを判別するのに役立つ一連のポリシーに準拠することで実現されます。 プロキシ サーバーがクライアントの ID を保護する仲介役として機能するのと同様に、WAF はリバース プロキシと呼ばれる逆の方法で同様の動作を行い、潜在的に悪意のあるクライアントから Web アプリケーション サーバーを保護する仲介役として機能します。
WAF は、ソフトウェア、アプライアンス、またはサービスとして提供される形式で提供されます。 ポリシーは、Web アプリケーションまたは Web アプリケーション セットの固有のニーズに合わせてカスタマイズできます。 多くの WAF では、新しい脆弱性に対処するためにポリシーを定期的に更新する必要がありますが、機械学習の進歩により、一部の WAF では自動的に更新できるようになりました。 脅威の状況がますます複雑かつ曖昧になるにつれ、この自動化はますます重要になっています。
クライアント (Web ブラウザーなど) とバックエンド サーバー (アプリケーション サーバーや他の Web サーバーなど) の間にあるリバース プロキシも、バックエンド サーバーからの応答をキャッシュするために使用できます。 これにより、頻繁にアクセスされるリソースの応答時間が短縮され、バックエンド サーバーの負荷が軽減されるため、Web アプリのパフォーマンスが向上します。 キャッシュされた応答は、バックエンド サーバーから動的に生成された応答よりも速く提供できます。 リバース プロキシ キャッシュを使用すると、特にトラフィック量が多いときや静的コンテンツを提供するときに、スケーラビリティとリソース使用率が向上します。
IPS は侵入防止システム、WAF は Web アプリケーション ファイアウォール、NGFW は次世代ファイアウォールです。 それらの違いは何でしょうか?
IPS は、より広範囲に焦点を合わせたセキュリティ製品です。 これは通常、署名とポリシーに基づいており、署名データベースと確立されたポリシーに基づいて、既知の脆弱性と攻撃ベクトルをチェックできることを意味します。 IPS はデータベースとポリシーに基づいて標準を確立し、トラフィックが標準から逸脱するとアラートを送信します。 新しい脆弱性が判明するにつれて、署名とポリシーは時間とともに増加します。 一般に、IPS は DNS、SMTP、TELNET、RDP、SSH、FTP などのさまざまなプロトコル タイプにわたるトラフィックを保護します。 IPS は通常、レイヤー 3 と 4 で動作し、保護します。 ネットワーク層とセッション層ですが、一部の層ではアプリケーション層 (レイヤー 7) で限定的な保護が提供される場合があります。
Web アプリケーション ファイアウォール (WAF) はアプリケーション層を保護し、アプリケーション層で各 HTTP/S 要求を分析するように特別に設計されています。 通常、ユーザー、セッション、アプリケーションを認識し、その背後にある Web アプリとそれらが提供するサービスを認識します。 このため、WAF はユーザーとアプリ自体の間の仲介者であり、通信がアプリまたはユーザーに到達する前にすべての通信を分析するものと考えることができます。 従来の WAF では、セキュリティ ポリシーに基づいて許可されたアクションのみが実行されるようにします。 多くの組織にとって、WAF は、特に最もよく見られるアプリケーションの脆弱性の基本リストである OWASP Top 10 から保護するための、信頼できるアプリケーション第一防衛線です。 このトップ 10 には現在次のものが含まれています。
- インジェクション攻撃
- 認証の不備
- 機密データの漏洩
- XML 外部エンティティ (XXE)
- アクセス制御の不具合
- セキュリティの誤った設定
- クロスサイトスクリプティング (XSS)
- 安全でないデシリアライゼーション
IPSとWAFに関する短いビデオをご覧ください
次世代ファイアウォール (NGFW) は、Web サイト、電子メール アカウント、SaaS など、インターネットに送信されるトラフィックを監視します。 簡単に言えば、ユーザー(Web アプリケーションではなく)を保護することです。 NGFW は、URL フィルタリング、ウイルス対策/マルウェア対策、場合によっては独自の侵入防止システム (IPS) などの機能を追加するだけでなく、ユーザーベースのポリシーを適用し、セキュリティ ポリシーにコンテキストを追加します。 WAF は通常リバース プロキシ (サーバーによって使用される) ですが、NGFW はフォワード プロキシ (ブラウザーなどのクライアントによって使用される) であることが多いです。
WAF はさまざまな方法で導入できます。それはすべて、アプリケーションの導入場所、必要なサービス、管理方法、必要なアーキテクチャの柔軟性とパフォーマンスのレベルによって決まります。 自分で管理しますか、それとも管理をアウトソーシングしますか? クラウドベースのオプションを持つ方がよいモデルですか、それとも WAF をオンプレミスに配置する方がよいですか? どのように展開したいかによって、どの WAF が適しているかが決まります。 以下にオプションを示します。
- クラウドベース + フルマネージド サービス - これは、WAF をアプリの前に導入するための最も高速で手間のかからない方法が必要な場合 (特に社内のセキュリティ/IT リソースが限られている場合) に最適なオプションです。
- クラウドベース + セルフマネージド - トラフィック管理とセキュリティ ポリシー設定の制御を維持しながら、クラウドの柔軟性とセキュリティ ポリシーの移植性をすべて実現します。
- クラウドベース + 自動プロビジョニング - これはクラウドで WAF を開始するための最も簡単な方法であり、セキュリティ ポリシーを簡単かつコスト効率よく導入できます。
- オンプレミスの高度な WAF (仮想またはハードウェア アプライアンス) - 柔軟性、パフォーマンス、より高度なセキュリティ上の懸念がミッション クリティカルな、最も要求の厳しい導入要件を満たします。
以下に、適切な WAF と展開モードを選択する際に役立つガイドを示します。
WAF の詳細と、F5 の高度な WAFテクノロジーを使用してアプリを保護する方法について学びます。 F5 は、 F5 NGINX Plus 、 F5 NGINX Ingress Controller 、およびその他のサーバーと連携する最新の WAF アプリケーションである F5 NGINX App Protectも提供しています。 NGINX Plus は、非常にスケーラブルなキャッシュ ソリューションとリバース プロキシも提供し、静的で頻繁に変更されないコンテンツを、最適化された信頼性の高い方法でさまざまなクライアントに提供します。 NGINX Plus キャッシュ サーバーは、FastCGI、SCGI、uwsgi などのプロトコルを使用してスクリプト言語から返される動的応答も処理できます。
