fbpx

分散Webアプリケーションファイアウォールによるクラウドアプリケーションの保護

概要

ITセキュリティに対する責任は、ネットワークとITインフラストラクチャから、アプリケーションとソフトウェアアーキテクチャ自体に移行しています。IT組織は、今日の進歩するセキュリティの脅威に対処するだけでなく、このシフトの結果として次のような新しい課題にも対応する必要があります。

  • 分散アプリケーションのセキュリティ
  • クラウド技術との統合
  • 大規模でダイナミックな成長
  • 複数のアプリケーションとリスクプロファイル
  • 急速に変化する脅威とL7攻撃
  • 既存のセキュリティプロセスおよびワークフローとの相互作用

Web Application Firewallは、これらの課題すべてに対処できるように設計されています。

前書き

オンラインビジネスの大幅な成長と規模の拡大に伴い、新しい製品やサービスを展開するというプレッシャーが続いています。つまり、コードの更新と変更が頻繁に行われ、ソフトウェア開発がさらに複雑になります。現代のアプリケーションは、既成のパッケージ、社内サービス、サードパーティのコンポーネントやフレームワークなどのビルディングブロックから作成され、これらすべてに個別の抜け穴や脆弱性があります。

複雑なアプリケーションは、特に開発者が期限を守り、顧客データを保護するというプレッシャーにさらされている場合、より簡単なターゲットです。アプリケーションおよびセキュリティチームは、今日の動的IT環境におけるアプリケーションの脆弱性を解決することが困難であることに気付き、アプリケーションのベンダーは、キャンペーンの締め切りや製品のリリースサイクルに対応できるほど迅速にパッチを提供できない場合があります。

アプリケーションセキュリティの終わりのない物語

毎年、何千もの新しい脆弱性がWebアプリケーションで報告されています。非常に多くの新しい脆弱性があるため、セキュリティの分析とテストが複雑なため、多くの企業がアプリケーションのセキュリティ保護、維持、強化が困難であることは不思議ではありません。

アプリケーションベンダーも同様の問題を抱えています。自社のアプリケーションでサポートされている新しい脆弱性を特定するために注意を払う必要があるだけでなく、カスタム統合プロジェクトが自社または他のアプリケーションのセキュリティも侵害するかどうかを判断する必要があります。彼らがセキュリティの抜け穴を特定して解決するには、パッチやソリューションを市場に投入するためにかなりの時間とリソースを費やす必要があります。

一部のアプリケーションの脆弱性はサードパーティのコンポーネントまたはOSモジュールのパッチですばやく解決できますが、本番システムで解決するのにロジックの欠陥やデータリークに数か月かかることも珍しくありません。一部の既製のアプリケーションは、アプリケーションベンダーの優先順位と認識されるリスクに応じて、1年以上パッチが適用されない可能性があります。

Web Application Firewall(WAF)は、既製のソリューションとサードパーティのフレームワークを含む複雑なカスタムアプリケーションの両方で、アプリケーションレベルのセキュリティのためのスケーラブルなソリューションです。これを使用して、オンライントラフィックにビジネスルールを適用し、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を検査およびブロックしながら、送信トラフィックをフィルタリングしてクレジットカードデータをマスクし、PCI-DSSおよびHIPAAへの準拠を支援できます。発信データのフィルタリング。

クラウドアプリケーションは幅広い脅威にさらされている

セキュリティ予算は、以前はネットワークファイアウォールとウイルス対策ソリューションに焦点を当てていました。ただし、最近では、攻撃の主な標的がネットワークレイヤーからアプリケーションレイヤーに移行しました。これは、クラウドアプリケーションで使用できるオペレーティングシステムとサービスインターフェイスが強化され、プロファイルが縮小されているためです。その結果、強化されたネットワーク境界の背後にある実際のサーバーよりも、アプリケーションロジックまたはアプリケーションフレームワークをターゲットにする方がはるかに簡単になりました。多くのアプリケーションは社内で作成されますが、セキュリティが開発者の中核スキルになることはめったになく、アプリケーションのライフサイクル全体を通じてセキュリティの問題につながる可能性があります。

さらに、クラウドコンピューティングの幅広い採用により、アプリケーションがインフラストラクチャ、プラットフォーム、ソフトウェアの外部ホスティングプロバイダーを活用するにつれて、攻撃ベクトルが増加しています。包括的なパッチ管理システムを確立することは重要ですが、実際にはこのアプローチは非常に困難でコストがかかることがあります。典型的なWebアプリケーションは、オープンWebフレームワークに依存するサードパーティの開発者によってオープンソースコンポーネントに基づいて構築されています。相互運用性と開発期間の短縮は実現しますが、セキュリティの脆弱性を解決するために複雑なパッチ管理が犠牲になります。オープンソースコードの1つのコンポーネントの欠陥は、それが使用される各アプリケーション全体で使用されるインスタンスごとにパッチを適用する必要があります。動的なインフラストラクチャとアプリケーションフレームワークを備えたパブリッククラウド環境では、これを管理することが非常に困難になる可能性があります。

クラウドの複雑さ

クラウド専用に開発された大規模アプリケーションは、アクセス速度とスケーラビリティに重点を置いた設計で、非常に複雑になることがよくあります。多くのクラウドアプリケーションは、オープンAPIを介してサードパーティ開発に柔軟性を提供します。たとえば、Salesforceです。com、Googleドキュメント、Facebook、Twitterはすべて、カスタムアプリケーションからのアクセスを許可するために公開されたAPIの良い例です。これらの「サービスとして」のアプリケーションは、現在2つの方法で開発されています。(1)オンプレミスアプリケーションをクラウドに移行すること、および(2)アプリケーションをクラウドで直接開発および操作することです。

内部の企業ネットワークからパブリッククラウドインフラストラクチャに移行するアプリケーションは、保護されたソフトウェアを処理するように設計されていない外部の脅威にさらすリスクを伴います。一般的なセキュリティの脅威には、インジェクション攻撃、クロスサイトスクリプティング、クロスサイトリクエストフォージェリなどがあります。

攻撃者にとって重要な「ホットスポット」であるパラメーターの検証、セッション管理、アクセス制御など、クラウドでのWebアプリケーションの開発には、多くのセキュリティ上の課題があります。開発者がアプリケーションセキュリティの設計経験が限られている場合、セキュリティの問題があるアプリケーションを作成する可能性が高くなります。

OWASPトップ10-Webアプリケーションのリスク管理

Open Web Application Security ProjectであるOWASPは、Webアプリケーションセキュリティの主要なオープンソースコミュニティグループであり、ビジネスポリシーからアプリケーションの脆弱性に至るまで、オンラインアプリケーションに対する最も一般的なセキュリティの課題を示す「トップ10」年次レポートを定期的に発行しています。

たとえば、2013年7月に発行された最新の「トップ10」レポートでは、OWASPは、インジェクションの欠陥が最も高いリスクとして上昇したと述べています。高額のデータ漏洩のリスクがあるため、この種の脆弱性は顧客や企業の情報への不正なアクセスを迅速に引き起こす可能性があります。

このセキュリティの課題は、ビジネスポリシーに照らして入力を検証し、基になるアプリケーションアーキテクチャとは独立した方法でデータ漏洩の疑いがある発信データをスクリーニングできるソリューションの必要性を強調しています。

また、攻撃者が毎年新しいツールや手法を使用して、悪用される可能性のある新しいギャップや抜け穴を特定することは役に立ちません。したがって、ソリューションは、変化するリスクの優先順位に適応するのに十分な俊敏性と、何百万もの顧客とトランザクションを処理する高スループットのWebアプリケーションに対する大規模な攻撃を処理するのに十分に堅牢である必要があります。

従来のWebアプリケーションファイアウォールでは不十分な理由

Webアプリケーションファイアウォール(WAF)およびその他のセキュリティソリューションは、通常、ハードウェアアプライアンスに限定されます。専用のハードウェアボックスでは、単一のセキュリティポリシーメカニズム内で複数レベルの委任管理が許可されないため、クラウドインフラストラクチャに深刻なボトルネックが生じる可能性があります。その結果、従来のネットワークハードウェアに加えて、不要なスペースとリソースを占有する専用のWAFアプライアンス(クライアントアプリケーションごとに1つ)をラックに搭載する必要がある場合があります。その結果、セキュリティは仮想化環境の効率に対する障壁となり、このコストは顧客に転嫁されるため、より多くのアプリケーションをクラウドに移行することが難しくなります。

クラウドでは、インフラストラクチャとサービスが顧客間で共有されます。つまり、クライアントアプリケーションとビジネスユニットの多くが1セットのハードウェアアプライアンスを共有している可能性があります。各アプリケーションには、ポリシー設定、ユースケース、および管理施行要件の固有のレイヤーが必要であるため、セキュリティの維持は非常に複雑になります。たとえば、主要なエンタープライズまたはクラウドプロバイダーには、数千のクライアントアプリケーションがあり、それぞれに可変のポリシー設定があります。このような場合、アプリケーションポリシーとそれらのそれぞれのフィルター設定を管理する必要があります。

理想的な世界では、仮想およびクラウドアーキテクチャの課題に対応できるようにアプリケーションをゼロから設計し、セキュリティ対策を直接統合することで、現在のクラウドアプリケーションアーキテクチャの主要な問題を解決します。それまでは、パブリッククラウドコンピューティングの潜在的かつ経済的なモデルを最大限に活用するには、従来のWebアプリケーションファイアウォールアプライアンスの代替が必要です。

分散Web アプリケーションファイアウォールによるクラウドセキュリティ

クラウド内のWebアプリケーションのセキュリティは、スケーラブルで柔軟性があり、仮想であり、管理が容易である必要があります。以下は、ソリューションで探すべき主要な機能です。

大規模なスケーラビリティ

分散型WAFは、CPU、コンピューター、サーバーラック、およびデータセンターの境界を越えて動的に拡張でき、個別のハードウェアフォームファクターに限定されることなく、個々のアプリケーションの要求を満たすようにカスタマイズできる必要があります。リソース消費は最小限で、検出と強制のスループットに合わせてスケーリングする必要があります。クラウドにはあらゆるサイズと形状があり、アプリケーションのセキュリティプラットフォームは変化する需要に柔軟に対応できる必要があります。

クロスプラットフォームの移植性

データセンターを進化させて変換するときは、さまざまな従来のテクノロジーと仮想テクノロジーを使用するため、セキュリティ戦略は混合環境に対応する必要があります。既存のネットワークへの影響を最小限に抑えながら、既存のシステムと統合できる仮想ソフトウェアアプライアンス、プラグイン、SaaS、またはソリューションを検討してください。

分散管理と委任管理

Webベースのユーザーインターフェイスでは、セキュリティポリシーを管理するためのアクセスを管理者および顧客に委任する必要があります。構成は、保護対象の各アプリケーションに合わせて調整する必要があります。これにより、単一の中央ホストによって定義されるのではなく、アプリケーションごとにさらに細かい設定が可能になります。ルールセットの構成はシンプルで、セットアップウィザードでサポートされている必要があります。統計、ロギング、レポートは直感的で、他のシステムにシームレスに統合する必要があります。さまざまなポリシー適用スキームを効果的に管理できるように、複数管理者権限を利用可能かつ柔軟にする必要があります。あなたは、コア保護のセットを探す必要のための政策を委任する能力を個々のクライアントとアプリケーション。

検出と保護

アプリケーションの要求と応答に、ブラック、ホワイト、グレーのリストを使用して、セキュリティの強力な基盤が必要です。また、セキュリティ管理者の承認なしに新しいポリシーがアクティブ化されないように、検出専用モードで新しいルールセットをテストおよび調整できることも重要です。検出専用のルールセットが安定している場合にのみ、それをクラウドまたはデータセンター内の選択されたアプリケーションにコミットできます。これにより、セキュリティ管理者は、既存のポリシーの施行を犠牲にすることなく新しい階層化ルールセットをテストしながら、ポリシー変更の結果を予測することができます。特に大規模なクラウドアプリケーションでは、誤検知や防御の弱体化を回避することが不可欠です。

自動化された学習とルールセットの推奨事項により、セキュリティチームがポリシーを管理しやすくなり、各ルールセットのアクティブ化と非アクティブ化を完全に制御できます。このレベルの制御がないと、正当なトラフィックがブロックされ、ポリシー設定が侵害される可能性があります。

アプリケーションのシールド

動的なクラウドインフラストラクチャでアプリケーションを強化するには、プロアクティブなセキュリティ機能が不可欠です。検出は、今日のWebアプリケーションのセキュリティには十分ではありません。透過的で安全なセッション管理、URL暗号化、フォームフィールド仮想化などの機能により、アプリケーションの開発とデプロイメントの時間を節約しながら、攻撃に対する強力な抑止力が提供されます。セッション管理、URL暗号化、フォームフィールド仮想化は、アプリケーション自体ではなくebアプリケーションファイアウォールで行われるため、これらの機能は効果的です。

アプリケーションを1つの管理スキーマに統合するのに役立つ認証フレームワークも望ましいです。これにより、アプリケーションの前で認証を処理し、別のセキュリティレイヤーを追加できます。すべてのアプリケーションを専用の権限管理機能で統合することにより、ポリシーの管理を容易にすることができます。

既存のテクノロジーとの統合

ネットワークとアプリケーションのセキュリティの両方でベンダーロックインを回避します。インフラストラクチャまたはアプリケーションを拡張するソリューションは、既存のテクノロジーやビジネスプロセスとシームレスに接続する必要があります。可能な限り最高の保護を作成するには、セキュリティ技術を階層化する必要があるため、分散Webアプリケーションファイアウォールは、セキュリティインシデントおよびイベント管理システム(SIEM)と自由に通信する必要があります。

Web Application Firewall

Web Application Firewall(WAF)は、これらのベストプラクティスをサポートするように設計された純粋なソフトウェアWebアプリケーションファイアウォールです。モジュラー構造のため、クラウドコンピューティング環境に非常に簡単にデプロイでき、アプリケーションレベルのセキュリティのためのスケーラブルなソリューションになります。オンライントラフィックにビジネスルールを適用し、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を検査およびブロックしながら、送信トラフィックをフィルタリングしてクレジットカードデータをマスクできます。ソフトウェアは、3つのスケーラブルなコンポーネントで構成されています。

  1. 執行者
  2. 決定者
  3. 管理インターフェース

執行者

エンフォーサは小さなコンポーネントまたはプラグインであり、あらゆる種類のデバイスにインストールできます。デバイスは、Webサーバーやプロキシ(ApacheやMicrosoft IISなど)にすることも、ネットワークファイアウォールやソフトウェアロードバランサーに統合することも、アプリケーション配信コントローラー(ADC)にすることもできます。エンフォーサは、要求データと応答データをDeciderと呼ばれるコンポーネントに送信し、必要に応じて要求と応答を変更します。エンフォーサは、Webアプリケーションファイアウォールがデータを分析してポリシーを実施するためのアダプタです。

決定者

ポリシーエンジンは、エンフォーサモジュールからのデータをチェックし、各リクエストもしくはレスポンスの管理方法を決定します。独自のアーキテクチャにより、1つから多数のCPUコアまでのスケーリングが可能で、水平方向のスケーリングも可能です。決定者はソリューションの計算集中型の部分であり、決定者のワークロードはその背後にあるWebインフラストラクチャの負荷に依存します。ユーザーとアプリケーションがより多くのトラフィックを生成するにつれて、決定者はより多くのCPUリソースを要求します。

管理インターフェース

管理システムを単一のサーバーとしてデプロイするか、完全に分散化してデプロイするかを選択できます。クラスターインストールでは、すべてのクラスターノードを使用して、アプリケーションとそのポリシーを管理できます。この分散型アーキテクチャはノードの障害に対して回復力があり、セキュリティ管理者のグループが個々のアプリケーションポリシーに取り組みながら、詳細な中央監視とアラート機能を提供できます。

統合されたADCの実装

統合されたADC展開では、WAFはサーバーアプライアンス、または仮想またはクラウドインフラストラクチャのVMのいずれかに展開できます。EnforcerとDecidersは、単一のプラットフォームとして管理されるTraffic Managerパッケージ内に共存します。管理GUは、標準を介してアクセスされるトラフィックマネージャコンソールです。

PaaSとSaaSの実装

サービスとしてのソフトウェア(SaaS)は、シンクライアント(通常は標準のWebブラウザー)を介して仮想化アプリケーションへのユーザーアクセスを提供します。ユーザーにとっての利点は、プログラムを所有することの頭痛の種なしにソフトウェアにアクセスできることです。スケーリングとリソース、そしてパッチとアップグレードはすべて処理されます。SaaSアプリケーションは通常、ユーザーごと、使用ごとに課金されます。

サービスとしてのプラットフォーム(PaaS)は、カスタムデータベースを構築するための仮想データベース、ストレージ、プログラミングモデルを顧客に提供します。このサービスは、プラットフォームの背後にあるスケーラブルなリソースを提供し、顧客がアプリケーションの存続期間を通じて成長できるようにします。あらゆる規模の企業にとって効果的なソリューションであり、多くの場合、使用モデルに基づいて課金されます。

共有クラウド(PaaSおよびSaaS)環境では、ロードバランサーとWebサーバーからの多くのエンフォーサープラグインが、別々のVMに展開されたDecider サービスと通信できます。このDeciderサービスの最初のVMが使用可能なCPU リソースの80%に達すると、クラウドの別のインスタンス上の新しいVM が自動的にプロビジョニングされ、起動されてDeciderクラスターに追加されます。Deciderサービスのクラスター全体のCPU使用率が40%を下回ると、Deciserインスタンスがクラスターから自動的に削除され、リソースがクラウドに解放されます。

IaaSの実装

サービスとしてのインフラストラクチャ(IaaS)では、大規模なリソースにアクセスして、完全な仮想ネットワークを構築および管理できます。アプリケーションのワークロードは時間の経過とともに変化するので、顧客はニーズに応じて仮想リソースをコミッションおよびデコミッションできます。顧客は、幅広いインフラストラクチャコンポーネントとサービスレベルアグリーメントからアプリケーション要件を定義し、インフラストラクチャの使用コストをサービス要件に合わせて選択します。

セキュア仮想Webアプリケーションファイアウォールは、IaaSクラウドに同様にデプロイできます。各顧客は、顧客間で共有されない3つのモジュールすべてのプライベートインスタンスを持つことができます。以前と同様に、多くのインスタンスをクラスター化して、より大きなトラフィック需要に対応するためにスケールアップできます。クラウドプロバイダーは、クラウドインフラストラクチャ内で自動スケーリングを提供して、個々のアプリケーションのライフサイクルを追跡することもできます。

大規模アプリケーション

パブリッククラウドに導入された非常に大きなアプリケーションの場合、分散型アプリケーションファイアウォールは、非常に高いトラフィックレベルに動的にスケーリングし、パブリックに面するアプリケーションの変化するトランザクションの要求に対応する必要があります。たとえば、仮想Web アプリケーションファイアウォールは、Amazon WebサービスやMicrosoft Azureグローバルデータセンターでホストされているような分散型クラウドアーキテクチャにデプロイできます。

SNSでもご購読できます。

コメントを残す

*