執筆者: Ram Pliskin (Senior Security PM, Azure Security Center)
このポストは、2018 年 5 月 31 日に投稿された Azure Security Center can identify attacks targeting Azure App Service applications の翻訳です。
インフラストラクチャの管理を気にすることなく、好きなプログラミング言語で Web アプリケーションを構築、ホストできる App Service は、Azure サービスの中でも特に人気のサービスです。App Service は自動スケーリングが可能で、高い可用性を備え、Windows と Linux の両方をサポートしています。また、GitHub、Visual Studio Team Services、任意の Git リポジトリからの自動デプロイメントにも対応しています。最近では、クラウドの規模を活用して App Service アプリケーションを標的とした攻撃を検出する新機能が Azure Security Center に追加され、RSA Conference にて発表されました。
Web アプリケーションは、ほぼすべての企業が一般的に使用するインターネット上の動的なインターフェイスとなっており、その脆弱性が攻撃者に狙われることは珍しくありません。App Service で実行されているアプリケーションへの要求は、世界中の Azure データセンターにデプロイされている複数のゲートウェイを介して送信されており、このゲートウェイが、要求の 1 つひとつを送信先のアプリケーションにルーティングする役割を担っています。先日始動した Security Center と App Service の開発プロジェクトでは、App Service ユーザーをサポートするセキュリティ サービスの構築を目指しています。
Security Center では、クラウド プロバイダーである Azure が持つ豊富な情報を活用して App Service の内部ログを分析し、さまざまな Web サイトで同一 URI (Uniform Resource Identifier) へのアクセスを試行するといった複数のターゲットへの攻撃手法を検出します。この手の攻撃者は、複数の Web サイトで同じ Web ページをクローリングし、特に脆弱なページやプラグインを探し出すという手口をよく使います。Security Center は、Web Application Firewall (WAF) 機器を通過しようとする操作を検出し、アラートを生成しています。
WAF とは Web アプリケーションを保護するメカニズムとして広く普及しており、通常、要求された URI の文字列をルールに基づいて分析し、SQL インジェクション、クロスサイト スクリプティング、その他の HTTP 違反などの既知の攻撃を検出します。この機能は既知の攻撃を抑えるには有効ですが、ルールに基づく手法であるため、新しい脆弱性が発見される速さには対応できません。
Security Center ではクラウドの規模を活かして、攻撃者が Azure でホストされている複数の Web サイトの脆弱性をスキャンして偵察を行っている段階の新たな攻撃に注意を払いながら、App Service アプリケーションに対する攻撃を特定しています。このほか、分析および機械学習モデルを活用する新機能では、ユーザーがアプリケーションを操作できるインターフェイスについては、それが HTTP 経由であっても、何らかの管理メソッドからであっても、すべて監視しています。さらに、Security Center は Azure 純正のサービスであるため、この PaaS の基盤となるコンピューティング ノードをカバーするホスト ベースのセキュリティ分析を独自に実施しています。このような対策によって、Security Center では既に公開されている Web アプリケーションに対する攻撃を検出できるようになっています。
Web アプリケーションの管理作業のためにワークロードが脆弱性のリスクにさらされる可能性もあり、それを踏まえた対策も必要です。このような脆弱性がきっかけとなって Web アプリケーションが攻撃を受け、ワークロード内に攻撃者が足場を築くことも考えられます。Security Center は、Windows 用と Linux 用の両方の Web アプリケーションに向けてさまざまな推奨事項とセキュリティに関するベスト プラクティスを提示し、Web アプリケーションを正しく構成できるよう支援しています。
この機能のパブリック プレビューは、Security Center の Standard レベルと Free レベルで無料でご利用いただけます。
Security Center の脅威検出機能の詳細については、こちらのドキュメントを参照してください。また、セキュリティ研究者による SQL ブルート フォース攻撃の検出 (英語)、ビットコイン採掘の検出 (英語)、サイバー脅威インテリジェンスを使用した DDoS 攻撃の検出 (英語)、正当なアプリケーションの悪用の検出 (英語) といった、Security Center の活用事例もご覧ください。