default-focus-right

Web アプリケーションファイアウォール (WAF)

Web サーバー、Web サイト、Web アプリケーションのセキュリティ保護

LoadMaster の Web アプリケーションファイアウォール (WAF) は、各種アプリケーションを、SQL インジェクションやクロスサイトスクリプティング (XSS) などの一般的な脆弱性から保護します。WAF を使って、ソースのロケーションレベルのフィルタリングを行い、般的な攻撃ベクトルに対して事前に統合されたルールセットを適用し、カスタムセキュリティルールをサポートするように、アプリケーションごとにセキュリティプロファイルを作成することができます。

ルールタイプの組み合わせを使用してアプリケーションを保護できます。既知の Web 攻撃に対する保護として、アプリケーションやインフラストラクチャを変更することなく、特定のトラフィックパターンがアプリケーションに到達するのを防ぎます。WAF は、PCI-DSS コンプライアンスおよびデータ損失防止 (DLP) コンプライアンス要件を満たすのにも役立ちます。LoadMaster は、アプリケーションごとの詳細なイベントロギング、UI 内の統計の視覚化、サードパーティーの SIEM への豊富なテレメトリによる誤検知分析により、実行中のアプリケーションの包括的な可視性を提供します。

WAF は、ネットワークインフラストラクチャの一部として、Web サーバー、Web サイト、および Web アプリケーションを、絶えず変化する脅威から防御するのに役立ちます。LoadMaster には、IDS/IPS、レート制限、SSL/TLS 暗号化、認証、SSO などがパッケージ化されており、簡単にカスタマイズして拡張することが可能です。

継続的な保護

レピュテーションデータは毎日更新され、幅広いアプリケーションに継続的な保護を提供します。ローカル用のカスタムルールで補完するオプションも使用できます。

デプロイと使用の容易さ

アプリケーションセキュリティの一元管理ポイントを提供する統合されたソリューションを採用することで、複数のサービスを統合する複雑な手間を省けます。

PCI-DSS コンプライアンス

WAF を実装して適切に設定することで、PCI-DSS コンプライアンス要件を満たすことができます。余分なコストはかかりません。

Web アプリケーションファイアウォール (WAF) とは何か?

Web アプリケーションファイアウォールは、従来のファイアウォールセキュリティ保護を補完および強化します。従来のファイアウォールは、内部のコンテンツを可視化できないため、暗号化された HTTPS トラフィックを停止しません。

Web アプリケーションファイアウォールは、標準ファイアウォールと Web サーバー間のネットワークスタックのレイヤ7で動作します。HTTPS トラフィックを復号化し、そこに含まれるデータを検査できます。ノック攻撃手法のリストや異常検出を使用し、悪意あるアクティビティを検出すると、Web サーバーへのアクセスを拒否できます。

Kemp LoadMaster の WAF

LoadMaster は、オープンソースのルールセットに裏打ちされた、業界をリードする ModSecurity エンジンに基づく WAF を提供します。LoadMaster に展開される Web アプリケーションファイアウォールは、プログレスのコンサルティングチーム、セキュリティ専門家、優秀なサポートスタッフによってサポートされています。

WAF は、すべての LoadMaster ロードバランサーのサポートサブスクリプションの Enterprise Plus で利用できます。

OWASP Top 10 攻撃に対する保護を提供します

Open Web Application Security Project (OWASP) Top 10 には、Web アプリケーションに対する最も一般的で重要なセキュリティリスクがリストされています。OWASP Top 10 や、他の多くの攻撃に対抗するために事前定義されたルールセットを使用する LoadMaster の WAF は、アプリケーションを変更することなく、すぐに適用できる保護を提供します。

提供される保護の例は次のとおりです。

クッキータンパリング

クッキー (Cookie) は、認証および承認プロセスで使用され、HTTP セッション全体で状態を追跡および維持します。Cookie に悪意のある値を挿入することによって、多くの攻撃 (SQL インジェクション、XSS、バッファオーバーフロー、整数オーバーフロー) を実行するためにも使用されます。

クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリ (CSRF または XSRF) 攻撃は、Web アプリケーション上で不要なコマンドを実行します。これらのエクスプロイトは、ユーザーの承認レベルを継承するので、ユーザー認証の対象となるアプリケーションからは正当に見えます。WAF は、リファラーヘッダーをチェックすることによって CSRF の試みをブロックします。

インジェクション攻撃

攻撃者がクライアントセッションをハイジャックして、特権データの読み取り、データの変更、および管理操作の実行に使用できる入力データをトラフィックストリームに挿入します。WAF は、クライアントのトラフィックフローを動的に監視して悪意のあるインジェクションパターンを検出し、不正な実行を防止することで、このような攻撃を軽減します。

クロスサイトスクリプティング (XSS)

XSS 攻撃は、ロード時にクライアントによって透過的にアクティブ化されるスクリプトを送信することにより、Web ベースのアプリケーションを悪用します。これらの攻撃により、ユーザー ID の盗難、Cookie ポイズニング、悪意のあるリダイレクトが可能になります。WAF は、信頼できないデータを悪意を持って挿入することを禁止することで、この攻撃を緩和します。

データ損失防止 (DLP)

ネットワークからの機密情報の不正な転送は、悪意のある手段または偶発的な手段によって発生する可能性があります。WAF は、不正なデータを含む送信トラフィックを検査して拒否することにより、ビジネスプラクティスに沿って、アプリケーションインフラストラクチャからの機密コンテンツの悪意のある、または意図しない転送を防ぎます。

バッファオーバーフロー保護

ユーザーが呼び出すバッファオーバーフロー攻撃を防止します。

アクセスコントロール

不正使用を防止するために、アプリケーションリソースに対して適切なアクセスコントロールを実施します。

セキュリティ設定のミス

セキュリティ設定の誤りによるアクセスを検出して防止するために、継続的な監視を行って保護します。

リアルタイム保護

既知の脅威、および新たな脅威を継続的に監視できるよう、ルールを毎日更新します。

サービス拒否攻撃への保護

サービス拒否攻撃 (DDoS) を示す HTTP トラフィックパターンを検出します。

ボットネット攻撃の防止

分散型ボットネットベースの DDoS 攻撃のパターンを検出し、アプリケーションサーバーに過負荷をかけるのを防ぎます。

Web ベースのマルウェア対策

Web ベースの攻撃手法を使用するマルウェア攻撃を検出してブロックします。

ゼロデイ脅威

悪意のあるアクティビティの検出とブロック。WAF は、既知の攻撃の利用可能なルールセットに追加される前に、ゼロデイ脆弱性が悪用されるのを防ぎます。

Web アプリケーションファイアウォールの作用

Web アプリケーションファイアウォールは、従来のネットワークファイアウォールを置き換えるものではなく、従来のネットワークファイアウォールに追加のネットワークセキュリティ保護を加えるものです。WAF は、ネットワークスタックのアプリケーション層で動作し、アプリケーショントラフィック、ネットワークデータパケット、およびそれらのコンテンツを検査して、悪意のあるトラフィックを検出します。LoadMaster の WAF は、SSL/TLS もサポートしているため、暗号化された Web サービスネットワークトラフィックを監視できます。

Web アプリケーションファイアウォールは、リバースプロキシサーバーとして機能し、クライアントとのすべてのセッション通信を処理します。LoadMaster ロードバランサーをリバースプロキシサーバーと WAF の両方として機能させるのが一般的です。そうすることでクライアントからアプリケーションサーバーが隠され、保護が強化されます。

WAF は、既知の攻撃方法のルールセットを使用するとともに、新しい手法による攻撃を示す可能性のある疑わしいアクティビティがないかどうかもチェックして、ネットワークトラフィックをフィルタリングし、安全なリクエストとデータのみを渡します。

Web アプリケーションファイアウォールによって提供される保護は、ルールとポリシーによって実装されます。システム管理者は、先駆的なセキュリティプロバイダーが提供するセットからルールを読み込むことができます。また、各組織には独自のアプリケーションランドスケープがあるので、展開ごとに個々のアプリケーションのカスタムルールを設定することもできます。


 

LoadMaster Web アプリケーションファイアウォールのデプロイ

LoadMaster Web アプリケーションファイアウォールのデプロイには、ネットワークやクラウド利用の状況に応じていくつかのオプションがあります。

ネットワークベースのデプロイ

ネットワークベースの Web アプリケーションファイアウォールを、専用インスタンスとして、または負荷分散などの他の LoadMaster 機能と一緒にコンポーネントとして、デプロイできます。仮想マシンベースのネットワーク WAF のデプロイが標準になりつつありますが、必要に応じてハードウェアベースのオプションも可能です。バックエンドサーバーが近接しているために、ネットワークベースの Web アプリケーションファイアウォールには、保護されたアプリケーションのネットワーク待ち時間が短くなるという利点があります。ただし、別のデバイスまたは仮想マシンインスタンスを展開する管理オーバーヘッドが発生します。

クラウドベースのデプロイ

クラウドベースの Web アプリケーションファイアウォールのデプロイは、パブリッククラウド展開のメリットを活かすことができます。容量は必要に応じて柔軟に調整することができます。オンプレミスでインフラストラクチャをホストすることによる管理オーバーヘッドの負担をなくすことができます。

最適化された高性能ロードバランサー、LoadMaster でアプリケーション常時稼働を実現

無料試用の申し込み お問い合わせ