執筆者: Teresa Yao (Principal Program Manager, Azure Networking)
このポストは、2019 年 4 月 4 日に投稿された Web application firewall at Azure Front Door service の翻訳です。
優れた Web アプリが開発され、世界中で愛されているとしたら、それは悪意のある攻撃者にとって恰好のターゲットです。サイバー攻撃の頻度が増し、巧妙さも年々上がっていることから、対策を講じずにいればサービス中断、データ損失、評判の低下といったさまざまなリスクにさらされることになります。
Web アプリをクラウドに移行する際、何を最優先に考えているかお客様に尋ねたところ、その答えはほとんどが「セキュリティ」でした。こうしたことを受け、本日マイクロソフトは、Azure Front Door Service で Web Application Firewall (WAF) のパブリック プレビューを開始しました。グローバルなアプリやコンテンツ配信ネットワークとネイティブに統合された WAF エンジンの組み合わせにより、Web アプリを世界中に安全かつ迅速に配信できる高可用性プラットフォームを提供します。
Front Door Service の WAF には、Azure エッジのスケーラビリティと多大なセキュリティ投資が活用され、インジェクション攻撃や Volumetric DDoS 攻撃などの多様な攻撃ベクトルからお客様を保護するよう設計されています。Azure のネットワーク エッジで受信した各要求を検査し、不要なトラフィックがバックエンド サーバーに流入する前に阻止することで、パフォーマンスを犠牲にすることなく大規模な保護を実現します。Front Door の WAF では、一般的な Web アプリの脆弱性に対するセキュリティ ルールをまとめた管理ルール セットを有効化できるだけでなく、カスタム ルールを定義して Web アプリへのアクセスを調整することもできます。さらに、セキュリティ ポリシーを一元管理でき、変更したポリシーは瞬時にすべての Front Door エッジに反映されます。
WAF ポリシーは Web アプリのセキュリティ ポスチャを定義する構築要素です。セキュリティ ルールには、カスタム ルールと、Azure が管理する構成済みのルール グループ (管理ルール セット) の 2 種類があります。既定の管理ルール セットは、新しい攻撃シグネチャに対応するために、必要に応じて更新されます。お客様が Web アプリを Azure PaaS プラットフォームでホストするなど、インターネットに接続するクラウド ネイティブの Web アプリを提供している場合、Front Door に既定の WAF ポリシーを簡単に追加できます。わずか数クリックで、OWASP Top 10 に挙げられている一般的な攻撃手段から Web アプリが保護され、Front Door Service によってレイテンシが最適化されます。
図 1: Front Door の WAF で Web アプリを保護
多くのお客様は、ビジネス クリティカルなアプリに対するコンプライアンス要件や BCDR (ビジネス継続性、ディザスター リカバリ) 要件を満たす必要があることから、Web アプリを複数のリージョンでホストしています。Front Door の WAF では、ポリシーの一元管理とグローバル負荷分散の機能が提供され、バックエンドへの多数のルーティング オプションがサポートされます。
図 2 : Front Door の WAF でマルチリージョンの Web アプリを 保護
Front Door の WAF では、Azure、他のクラウド サービス、オンプレミスでホストされているバックエンドを保護できます。バックエンドをロックダウンすれば、Front Door からのトラフィックのみを許可し、インターネットからの直接アクセスを拒否することも可能です。また、カスタム ルールを使用してアクセスとレートを細かく制御できます。カスタム ルールは以下の要素で定義されます。
- IP の許可/禁止リスト: クライアント IP アドレスのリストまたは範囲に基づいて Web アプリへのアクセスを制御します。IPv4 と IPv6 のどちらもサポートされます。
- 地理ベースのアクセス制御: クライアントの国コードに基づいて Web アプリへのアクセスを制御します。
- HTTP パラメーター ベースのアクセス制御: クエリ文字列、POST 引数、要求 URI、要求ヘッダー、要求本文など、HTTP(S) 要求パラメーターの文字列マッチングに基づいて Web アプリへのアクセスを制御します。
- 要求メソッド ベースのアクセス制御: GET、PUT、HEAD などの HTTP 要求メソッドに基づいて Web アプリへのアクセスを制御します。
- サイズ制限: クエリ文字列、URI、要求本文など、要求の特定の部分の長さに基づいて Web アプリへのアクセスを制御します。
- レート制限ルール: 任意のクライアント IP からの異常な高トラフィックを制限します。1 分間に 1 つのクライアント IP に対して許可する Web 要求数の上限を設定できます。レートは一致条件と組み合わせることが可能です (特定の URI パスへのアクセスのレート制限など)。
WAF の料金は、作成した WAF ポリシーとルールの数、選択した管理ルール セットの種類、受信した Web 要求の数に応じて発生します。パブリック プレビューの期間中は無料でご利用いただけます。
Azure の WAF サービスを強化していくにあたり、引き続き皆様からのフィードバックをお待ちしております。Front Door の Web Application Firewall は現在、ポータル、ARM テンプレート、PowerShell からお試しいただけます。詳細については、Azure Front Door Service の Web Application Firewall (WAF) に関するドキュメント (英語) をご覧ください。