Flexible Load BalancersにおけるOracle Cloud Infrastructure WAF Protectionの発表 (2021/10/29)
Flexible Load BalancersにおけるOracle Cloud Infrastructure WAF Protectionの発表 (2021/10/29)
セキュアなアプリケーションデリバリーは、優れたアプリケーションアーキテクチャやパフォーマンスと同様に重要です。パフォーマンスやユーザーエクスペリエンスの最適化だけでなく、ますます巧妙化するサイバー攻撃からWebアプリケーションを保護することが不可欠です。Webアプリケーションは、アプリケーションの脆弱性や設定ミスを悪用した悪質な攻撃の標的になることがよくあります。クラウド時代になって、これらの攻撃の規模と巧妙さは飛躍的に増大しています。クラウドサービスプロバイダーであるオラクルでは、お客様とセキュリティに関する役割を共有しています。お客様のアプリケーションを保護するために、安全性の高いプラットフォームとネイティブなセキュリティサービスを提供し、信頼できるパートナーとなることを目指しています。Oracle Cloud Infrastructure Web Application Firewall (WAF)は、そのような重要なサービスの一つであり、お客様のアプリケーションの広範なセキュリティ態勢の重要な一部です。OCI WAFはクラウドベースのセキュリティサービスで、悪意のある不要なインターネットトラフィックからWebアプリケーションを保護します。OCI WAFは、多層的なアプローチにより、悪意のあるボット、アプリケーション層(L7)のDDoS攻撃、クロスサイトスクリプティング、SQLインジェクション、Open Web Application Security Project(OWASP)で定義されているその他の脆弱性など、数多くのサイバー脅威からウェブアプリケーションを保護します。インターネットに面したあらゆるエンドポイントを保護し、アプリケーション間で一貫したルールの適用を可能にし、WebアプリケーションやAPIへの悪意のあるリクエストをフィルタリングすることができます。
フレキシブルロードバランサーによるWAF保護
現代のWebアプリケーションは、一連のビルディングブロックとマイクロサービスを使用して構築されており、それらが連携してリッチなデジタル体験を提供します。ユーザーとアプリケーションの間のゲートウェイとして、Flexible Load BalancerとWAFは、そのアプリケーション・スタックの重要な部分を占めます。Oracle Cloud Infrastructure Flexible Load Balancerは、SSLオフロード、クッキーベースのセッション・パーシスタンス、マルチサイト・ホスティング、URLパス、高度なレイヤー7ヘッダーベース・ルーティングなどのアプリケーションデリバリー機能を提供します。また、SSLポリシー・コントロールとエンド・ツー・エンドのSSL暗号化により、アプリケーションセキュリティの強化を実現します。
本日、OCI WAF enforcement on Flexible Load Balancerサービスの一般提供を開始しましたのでお知らせします。この機能強化により、WebアプリケーションへのWAFエッジエンフォースメントに加えて、OCI WAFプロテクションをFlexible Load Balancer(パブリックおよびプライベートの両方)インスタンスに直接適用し、エンフォースメントすることができるようになりました。Flexible Load Balancer上でWAFを適用すると、OWASP top 10 vulnerabilitiesで特定された一般的なWebの脆弱性からアプリケーションを保護することで、アプリケーションのセキュリティ態勢がさらに強化されます。これにより、インターネットに面したアプリケーションだけでなく、内部のアプリケーション・ワークロードも保護することができます。Flexible Load BalancerのWAFは、インターネットに面したアプリケーションを保護するだけでなく、内部のアプリケーションをインサイダーの脅威から守り、「リージョン内」のアプリケーション・ワークロードのWAFセキュリティを強化することができます。これらの攻撃は、アプリケーションのバックエンドサーバーに到達する前に、リージョン内で緩和されます。
包括的なWAFのセキュリティ施行
電子商取引業者の3層アプリケーションのサンプルと、WAFサービスを使用してレイヤー7攻撃から保護されているさまざまなコンポーネントを見てみましょう。この例では、お客様はOracle Cloud InfrastructureにEコマースサイト、ショッピングカート、配送サービスをホストしています。ショッピングカートのWeb層はパブリックのFlexible Load Balancerでフロントされており、アプリケーション層とデータベース層はプライベートのFlexible Load Balancerでホストされています。また、CRMサービスなどの一部のワークロードはOCIの外でホストされています。
正当なユーザーが電子商取引サイトとやり取りするのと同様に、ハッカーも正当なユーザーのふりをして悪意のあるやり取りを行うことができます。このような攻撃は、主にレイヤー7のDoS/DDoS攻撃、SQLインジェクション、クロスサイトスクリプティング、悪意のあるファイルの実行として発生します。これらのリクエストは、WAFのルールと脅威インテリジェンスのフィードを使用してフィルタリングされ、適切なトラフィックのみが許可されるようになっています。WAFは、WAFポリシーのセキュリティルールに照らし合わせて、すべてのHTTPリクエストをインターセプトし、分析することでこれを実現します。これらのルールは、OWASPトップ10の脆弱性を保護し、HTTPフラッドやSYNフラッドなどのレイヤー7のDDoS攻撃をレート制限またはブロックします。さらに、エッジでのWAFポリシーは、この例ではCRMサービスなど、Oracle Cloud Infrastructureの外部でホストされているインターネットに面したワークロードを保護することもできます。
ショッピングカートサービスへのダイナミック・コンテンツ・リクエストがパブリック・ロードバランサーに到達すると、WAF は IP や HTTPS スプーフィングのようなマン・イン・ザ・ミドル攻撃から保しまする。ショッピングカートのウェブ層は、データベースのバックエンドなど、多くの内部エンドポイントにリクエストをルーティングする可能性があります。WAFは、ベンダーのコンピュータが危険にさらされることによるデータ漏洩や、悪意のあるインサイダーによるデータ漏洩など、インサイダーの脅威によるプライベートネットワーク内のこれらの東西間のトラフィックを保護するように設計されています。また、WAFは、ソフトウェア/ハードウェアの脆弱性やマルウェアによるゼロデイ攻撃からアプリケーションを保護するように設計されています。
要約すると、OCI WAFサービスは、ユーザーに最も近いエッジと、アプリケーションに最も近い柔軟なロードバランサー上でWAF保護を実施する柔軟性を提供します。WAFは、アプリケーション・インフラストラクチャとワークロードが、Oracle Cloud Infrastructure、オンプレミス、マルチクラウドなど、どこに存在していても保護することができます。
シンプルで柔軟な価格設定
今回のリリースでは、OCI WAFの柔軟でシンプルな新価格を導入します。新しい価格は、WAFインスタンスとWAFリクエストの2つのコンポーネントで構成されています。WAFインスタンスの料金は、アクティブなWAFポリシーの施行数に基づき、リクエストの料金はWAFで処理されたトラフィック量に基づきます。Oracle Cloud Infrastructureをご利用のお客様(政府機関のお客様を除く)は、最初のWAFインスタンスと月1,000万リクエストまでの使用量については課金されません。
次のステップ
OCI WAFをFlexible Load Balancerに設定する方法の詳細については、OCI WAFのドキュメントを参照してください。これらの新機能や、Oracle Cloud Infrastructureが提供するエンタープライズ・グレードの機能をぜひ体験してください。300米ドルの無料クレジットを利用すれば、簡単にお試しいただけます。
その他のリソース
- More information about OCI WAF
- OCI WAF Documentation
- OCI Flexible Load Balancer
コメント
コメントを投稿