fbpx

アプリケーションデリバリーファイアウォールのパラダイム

アプリケーションデリバリファイアウォールソリューションのセキュリティサービスをベースにした新しいデータセンターアーキテクチャは、大幅なCapExの節約を実現しながら、現代の攻撃に効果的に対処します。

序章

ほとんどの組織では、ファイアウォールはウェブとアプリケーションサービスの最初の防御ライン、つまり境界線です。ファイアウォールは、従来のネットワークセキュリティアーキテクチャが構築される主要な基盤となっています。従来のアーキテクチャは成熟しており、多くのセキュリティ標準では、認定されたファイアウォールの導入が必要とされています。例えば、クレジットカード番号を処理するデータセンターは、Payment Card Industry (PCI) 規格に準拠していなければならず、認定されたネットワークファイアウォールを必要とします。PCI監査人が参照している事実上の標準は、国際コンピュータセキュリティ協会(ICSA)ラボ認定のネットワークファイアウォールです。ICSAは、カード処理に使用できるファイアウォールの短いリストを定義しています。

しかし、従来のファイアウォールは、現代の攻撃を検知して撃退する上で限界を見せ始めています。アプリケーション層やネットワーク層を標的とした攻撃は、これらのステートフルで高価なファイアウォールの障害を引き起こしており、そのような攻撃の数は増加しています。

このようなファイアウォールの障害は、攻撃者を可能にしている状況を考えると、特に憂慮すべきものです。アノニマスLulzSec攻撃は、集中的に攻撃を行い、計画を立てる必要がありましたが、今日の攻撃の大部分はそのような準備を必要としません。中国やインドなどの新興テクノロジー大国では、法的な監督が不足しているため、瞬時にリースできる大規模なボットネットを確立することが可能になっています。

ネットワークスタックの複数の層を巻き込んだこれらの攻撃は、ますます多様化しており、ファイアウォールの障害が驚くほどの頻度で発生しています。その結果、従来のファイアウォールサービスを用いた境界型のセキュリティ対策だけでは、攻撃を検知してビジネスの混乱を防ぐことができません。また、アプリケーション層のプロトコルや動作を利用した攻撃を阻止するために、アプリケーション層の機能を利用する必要があります。

ファイアウォールの制限

従来のファイアウォールの選択は、伝統的に認証、支出、および性能によって知らされてきました。認証基準は、コンプライアンスのために特定のファイアウォール製品を必要とする場合があり、選択できるデバイスの選択が制限されます。そのセットから、購買担当者は、価格と性能という残りの2つの要因をプロットします。しかし、これらのパラメータの新しい分析は、新しいパラダイムを示唆しています。

ファイアウォールは、データスループット(例えば、1Gbps や4Gbps)によって評価されており、これにより、入口パイプのサイズに合わせて購入することが容易になります。しかし、バルク・スループットは実際の話ではありません。分散型サービス拒否(DDoS)攻撃の際に重要なのは、バルク・スループットだけではありません。例えば、一般的な 5 万ドルの従来型ファイアウォールは 10 Gbps のスループットを謳っていますが、これは中小規模の攻撃には十分なはずです。しかし、このクラスのファイアウォールでは、100万から200万の同時接続しか処理できません。2010年のウィキリークスの攻撃者が、たった1つのボットネットを使って200万以上の同時接続を簡単に発生させ、米国中のファイアウォールをひっくり返したことは周知の事実です。次のレベルの同時接続パフォーマンス(毎秒400万~1,000万接続)を持つ従来のファイアウォールでは、10万ドルから15万ドルの価格帯へとステップアップする必要があります。

これは秒当たりの接続数についても同じです。従来のファイアウォールがステートフルインスペクションを実行すると、TCPセッションをセットアップするたびにパフォーマンスペナルティが発生します。これにより、着信接続に対するファイアウォールのパフォーマンスが制限されます。5万ドルの価格帯では、典型的な従来型ファイアウォールは、1秒間に50~100,000の新規接続を処理できます。

攻撃者はこのようなファイアウォールの制限に気付いており、現代の攻撃はこの制限を悪用するように設計されています。その結果として発生するファイアウォールの障害は、残念ながら珍しいものではありません。実際、2011年9月に実施されたセキュリティ調査では、回答者のわずか8%が、ファイアウォールなどの従来型のセキュリティ対策でネットワーク・セキュリティを提供するには十分であると回答したのは、このような障害が原因かもしれません。

従来のファイアウォール導入アーキテクチャのもう一つの限界は、ネットワークとアプリケーションのエコシステム全体を網羅する今日の脅威の範囲の広さに対応できないことです。このような広範な脅威を緩和することを目的としたソリューションは、従来、アプリケーション、ネットワーク、DDoS 攻撃などの論理的なグループ化された攻撃に対処するための特定の技術を使用して、個別に展開されてきました。このような複数のベンダーからの切り離されたソリューションは、全体的な管理の複雑さを増し、当然のことながら、多額の資本支出や運用費が発生します。

最新のデータセンターのエッジを検討する際には、ポート80を介してトラフィックを通過させ、レイテンシを追加し、費用や露出を増加させるだけの従来型のファイアウォールにいくら払っても良いのではないかと顧客は疑問を持っています。機敏な企業、特に新興企業やPCI要件のないサイトでは、しばらくの間、従来型のファイアウォールを使用せずに運用することができました。Web2.0 やその他のデータセンター・トランザクションに依存している企業は、統合されたセキュリティ・デバイスが前面に出た新しいデータセンター・アーキテクチャの恩恵を受けることが多くなっています。

新しいデータセンターアーキテクチャ

ファイアウォール問題に対するアプローチ(アプリケーション・デリバリ・ファイアウォール・ソリューション)は、セキュリティ・サービスをデータセンターのエッジにある単一のアプリケーション・デリバリ・コントローラ(ADC)に集約します。

HTTP/S、SMTP、DNS、FTP など、最も広く展開されているプロトコルでネットワークに侵入してくる脅威からデータセンターを守るために設計された、高性能、ステートフル、フルプロキシのネットワーク・ファイアウォールです。他のセキュリティサービスを組み合わせることで、アプリケーション・デリバリー・ファイアウォール・ソリューションのアプリケーション・インテリジェンスに基づいた新しいセキュリティ・アーキテクチャを構築することができます。

アプリケーション デリバリ ファイアウォール ソリューションは、従来のファイアウォールよりもはるかに高い接続容量でネットワーク層の保護を提供します。アプリケーション デリバリ ファイアウォール ソリューションは、何億もの接続を処理することができ、攻撃を受けた場合には、さまざまなタイムアウト動作、バッファ サイズ、およびその他のセキュリティに特化したオプションを使用して接続を管理することができます。この容量により、BIG-IP LTM は、ステートフル・ファイアウォールが一般的に提供するポートおよび IP ベースのアクセス制御サービスを実行しながら、猛烈なトラフィック量を管理することができます。

ネイティブアプリケーションプロトコルの流暢さ

アプリケーション・デリバリ・ファイアウォール・ソリューションは、アプリケーション層のプロトコルや動作を利用した攻撃を阻止するのに役立ちます。アプリケーション・デリバリー・ファイアウォールは、アプリケーション・プロトコルに精通しているため、仕様や標準だけでなく、動作を監視して行動することができます。アプリケーション・デリバリー・ファイアウォール・ソリューションは、IPv4IPv6、TCP、HTTP、SIP、DNS、SMTP、FTP、Diameter、RADIUS通信をデコードし、ペイロードだけでなくプロトコルに基づいたより高度な分析を可能にします。これにより、アプリケーションデリバリファイアウォールは、攻撃が進行中であることを示す異常を検知し、適切な対処を行うことができるようになります。例えば、アプリケーション・デリバリ・ファイアウォールは、クライアントごとの1秒あたりのレイヤ7接続数を検出し、レイヤ7攻撃の緩和に有効であることが証明されている様々なレート制限スキームを課すことができます。

このネイティブなプロトコルの流暢さは、プロトコルのコンプライアンスを確実に実施し、プロトコルの解釈の甘さによってもたらされる脆弱性を利用しようとする攻撃を緩和します。プロトコルコンプライアンスとフルプロキシアーキテクチャを組み合わせることで、独自の DDoS 緩和ソリューションを実現しています。

  • 組織は、サーバーおよび OS ヘッダーを難読化し、送信 HTTP 応答コード(301、401、501 エラーなど)を書き換えることで、アプリケーション・サーバー用のフィンガープリント・クローキング・プロファイルを構築することができます。
  • トランスポート層のセキュリティのために、 SSL/TLS プロトコルスタックの奥深くまで到達し、2010 年の SSL リネゴシエーション脆弱性のようなプロトコル攻撃を緩和することができます(この脆弱性は、単一のハンドセットが安全なサーバーを攻撃することができます)。

高度なネットワーク保護

3 つの主要なセキュリティサービスを提供します。第 1 に、 高速でアプ リ ケーシ ョ ンを認識した ファイアウォール ルールを提供し、 セキュリティ担当者がレイヤ 4 ネットワークを管理できるようにします。次に、38 種類の DDoS 攻撃を認識しており、自動的に警告と軽減を行います(組織は、独自の DDoS シナリオをさらに定義することができます)。最後に、初めてアプリケーションレベルでのきめ細かな可視性とロギングを提供します。これにより、組織は、ゾーンの抽象化を徐々に廃止し、個々のアプリケーションチームに直接計測を提供することができます。

高度なDNS保護

DNS ロトコルのネイティブの流暢性とコンプライアンス保護を強化しています。Domain Name System Security Extensions (DNSSEC) をサポートする初の商用グローバルトラフィックマネージャであり、キャッシュポイズニングや中間者攻撃からの保護を提供しています。重要な DNS サービスを DoS 攻撃から保護します。

高度なウェブアプリケーション保護

Web アプリケーションファイアウォール (WAF) サービスを提供し、クロスサイトスクリプティング (XSS)、クロスサイトリクエストフォージェリー (CSRF)、SQL インジェクションなどの Open Web Application Security Project (OWASP) トップ 10 攻撃に対して個々のアプリケーションを保護します。アプリケーションの通常の入力パラメータを認識し、通常のトラフィックパターンに合わない攻撃を拒否することができる学習モードを備えた唯一のWebアプリケーションファイアウォールです。

ウェブアクセス管理

APMは、 アプ リ ケーシ ョ ン配信フ ァ イ ア ウ ォ ールの最後の コ ン ポーネ ン ト です。多くの Web アプリケーションでは、特定のユーザーのアクセスを制限する必要がありますが、BIG-IP APM は、多要素認証、認可、およびシングルサインオン (SSO) サービスでこの要件をサポートしています。データセンターへの動的なアクセス制御は、ユーザー ID、エンドポイント検査結果、ジオロケーション、ディレクトリストアから取得した任意の属性などのコンテキスト情報から派生したレベル 4 およびレベル 7 アクセス制御リスト (ACL) を使用して実施されます。BIG-IP APM は、 最大 72 Gbps の転送速度で ACL を強制し、 毎秒数千件のログインをサポートし、1 つのプ ラ ッ ト フ ォーム上で 10 万人の同時ユーザーに拡張することで、非常に優れた性能を発揮します。

累積給付金

これらの利点(パフォーマンス、プロトコルコンプライアンス、フルプロキシアーキテクチャ、アクセス制御)の累積的な効果は、全体的な脅威の表面を減少させます。より少ない、より大容量のデバイスを持つことは、構成が少なくて済むことを意味し、最終的には攻撃時に戦うべき戦いが少なくなる。IT スタッフは、さまざまなデバイスがセキュリティスタックの上下に障害を起こして再起動するのではなく、単一の制御ポイントに防御を集中させることができます。このように脅威の表面を減らすことで、従来のネットワーク攻撃だけでなく、複雑な DDoS 攻撃やレイヤ 7 の脆弱性など、今日の脅威の範囲の広さを緩和することができます。

アプリケーションデリバリーファイアウォールソリューションを使用したアプローチでは、従来のステートフルファイアウォールでは実現できなかった、フルプロキシアーキテクチャ内で3つの攻撃タイプ(ネットワーク、DDoS、アプリケーション)に対する優れた防御を実現するためのセキュリティサービスを統合します。

結論

ステートフル・ファイアウォールは、過去25年間、データセンターのエッジにおけるセキュリティの中心的な役割を果たしてきました。しかし、従来のファイアウォールベースのアーキテクチャに亀裂が入り始めています。攻撃者が新たな技術やグローバルボットネットを利用して、防御の盾となっていたものが、まさにその盾が最も必要とされるときに、障害となり始めているのです。従来のファイアウォールは単純なネットワーク攻撃を軽減することができ、いわゆる「次世代」ファイアウォールは企業データセンターのアウトバウンド脆弱性に対処することができます。

しかし、製品をベースとし、ネットワークのエッジにフルプロキシで高接続容量のADCを搭載した新しいデータセンター・ファイアウォール・アーキテクチャだけが、ファイアウォール・デバイスやアップグレードを排除し、他のデータセンター・リソースを最大限に活用することでCapExを大幅に削減しながら、標準ベースのコンプライアンスを確保することができます。

アジャイルな組織は、現代のデータセンターの脅威スペクトルの3つの主要なベクトルに対処するために、セキュリティサービスを統合しています。

  • 従来のネットワーク攻撃
  • HTTPおよびDNS に対する複雑なDDoS 攻撃
  • アプリケーションレベルの脆弱性

 

SNSでもご購読できます。

コメントを残す

*