単一のロードバランサの背後にある複数のWebサイトへの異なるOCI WAF保護ルールの適用 (2025/05/24)

単一のロードバランサの背後にある複数のWebサイトへの異なるOCI WAF保護ルールの適用 (2025/05/24)

https://blogs.oracle.com/ateam/post/applying-different-oci-waf-protection-rules-to-multiple-web-sites-behind-a-single-load-balancer

投稿者:Amit Chakraborty


企業は通常、異なるアプリケーションに対して複数のWebサイトを持っています。これらのWebサイトは、通常、高可用性を実現するためにロードバランサの背後にあります。ビジネス要件に応じて、様々なデプロイメント・アーキテクチャを使用できます。Webサイトごとにロードバランサを使用することも、1つのロードバランサで異なるWebアプリケーションをロードバランシングすることもできます。OCIロードバランサは、両方のユースケースをサポートできます。


次の図は、複数のWebサイトを含む単一のロードバランサを示しています。


図1


ロードバランサを複数のWebサイトを処理するように構成するには様々な方法があります。ここでは、ロードバランサにはアクセスしません(後でアプローチについてブログで説明します)。重要な点は、前述のシナリオでは、WebアプリケーションはWeb攻撃に対して脆弱である可能性があることです。Web Application Firewall (WAF)がすべての受信HTTPリクエストをスキャンし、必要に応じて防御アクションを実行することをお薦めします。次の図は、WAFが混在する改善されたシナリオを示しています。


図2


WAFでは、通常、様々な攻撃ベクトルを定義する様々な保護ルールを構成します。WAFは、受信HTTPリクエストをこれらの保護ルールと照合し、一致が正の場合は必要なアクション(構成済)を実行します。私たちのユースケースに戻って、上記の図2、適切な保護ルールを構成する必要があります。ただし、保護ルールは、通常、(Web)アプリケーション・テクノロジ・スタックと連携されます。アプリケーションがLinuxベースの場合、またはその逆の場合、Windows固有のルールを選択する意味はありません。したがって、前述の図2では、app1.acmecorp.com用とapp2.acmecorp.com用の2組の保護ルールが必要です。



本当の事


OCIでは、1つのWAFポリシー(保護ルール・セットを含む)をロードバランサにアタッチできます。問題は、1つのWAFポリシー内で2つの異なるWebサイトに対して2つの異なる保護ルール・セットを構成する方法です。


OCI WAFでは、条件アクションを保護ルール・セットに関連付けることができます。たとえば、OCIテナンシでは、デモ目的で、amitwebappsとamitmobileの2つのWebサイトを定義しました。次の図3に示すように、amitwebappsおよびamitmobileの条件とアクションを使用して、2つの保護ルール・セット(Webサイトと同じ名前)を構成しました。


図3


両方の保護ルール・セットには、次の図4のように単一のルールがあります。


図4


保護ルール・セットamitwebappsがWebサイトamitwebappsのリクエストにのみ適用されるように、ルール・セット内の条件を使用できます。


図5


図5の条件は、HTTPホストヘッダーをチェックする。Webサイトamitwebapps宛のリクエストのみが保護ルール・セットをトリガーします。同様に、Webサイトamitmobileの保護ルール・セットには、対応する条件があります。


図6


XSS攻撃でamitwebappsで次のテストを実行すると、次のようになります。


図7


リターンコード401は、図3のamitwebappsに対して定義されたアクションと一致しています。WAFログを調べると(関連するセクションのみが表示されます)、次の内容が表示されます。


図8


ログは、正しい保護ルール(およびレスポンス)が機能していることを確認します。同様に、amitmobileのWebサイトで同じテストを実行すると、- になります


図9


繰り返しますが、これは図3のamitmobileアプリに定義された「チェック」アクションと一致しています。ログをチェックすると、amitmobile Webサイト用に構成された保護ルールのみがトリガーされることを確認します。


図10



まとめ


OCI WAFは、Webアプリケーションの保護に強力な構造を提供します。このブログ投稿では、ロードバランサの背後にある複数のWebサイトを保護する方法を、独自の保護要件とともに調査しました。


コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19)

イメージ
Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19) https://blogs.oracle.com/dataintegration/post/how-to-replicate-to-mirrored-database-in-microsoft-fabric-using-goldengate 投稿者: Shrinidhi Kulkarni | Principal Product Manager Oracle GoldenGate 23aiでは、オープン・ミラーリングを介したMicrosoft Fabricへの統合のパブリック・プレビューがサポートされるようになりました。この強力な組み合わせにより、リアルタイムのデータ統合が可能になり、ハイブリッド環境とマルチクラウド環境のデータをMicrosoft Fabricのミラー化されたデータベースに継続的に同期できるため、データは常にAIと分析に対応できます。 Microsoft Fabric統合のOpen Mirroring は、GoldenGate for Distributed Applications and Analytics 23ai (GG for DAA) (23.6)製品を介して提供されます。 既存の Azure統合の詳細については、 ドキュメント を参照してください。 オープン・ミラーリングは、オープン・デルタ・レイク表形式に基づいて、データISVがMicrosoft Fabricのミラーリングを拡張できるように設計されています。この機能により、Oracle GoldenGate 23aiは、オープン・ミラー化パブリックAPIおよびアプローチに基づいて、Microsoft Fabricのミラー化データベースに変更データを直接書き込むことができます。Microsoft FabricでのOpen Mirroringの詳細については、「 Microsoft FabricでのOpen Mirroringの概要 」を参照してください。 このブログ投稿では、この統合の実装の側面について深く掘り下げ、GoldenGate統合の構成方法を示します。 構成ステップ: リファレンス・アーキテクチャの理解 前提条件 ...
続きを読む

Oracle Database Service for Azure(ODSA)とOracle Interconnect for Azureの比較 (2022/08/15)

イメージ
Oracle Database Service for Azure(ODSA)とOracle Interconnect for Azureの比較 (2022/08/15) https://database-heartbeat.com/2022/08/15/odsa-vs-interconnect/ はじめに Oracle Database Service for Azure(ODSA) が最近発表されて以来、大きな反響を呼んでいる。この新サービスは、AzureとOCI上でマルチクラウド・ソリューションを実現するために、オラクルが管理し、完全に自動化された方法を提供するものだからです。 しかし、ちょっと待った! MicrosoftとOracleはすでにしばらく(2019年から)提携しており、マルチクラウドワークロードに使用する Oracle Interconnect for Azure (ここでは略称:Interconnect)を提供しています。そこで、問題提起されているのは、何が違うのか?類似点は何か?そして、どちらを使うべきなのでしょうか? InterconnectはAzureとOCI間のネットワーク接続を設定するものであるのに対し、ODSAは接続、OCIデータベースのプロビジョニングと管理を行うAzureライクな体験などを提供するサービスベースのアプローチですが、違いと類似点について整理してみましょう。 AzureからOCIへの接続性 ODSAは、Oracleが管理するInterconnectをベースにしています。OCIのVCNとAzureのVNetは自動的にピアリングされるので、Interconnectのセットアップと設定にネットワークの専門知識は必要ありません。AzureのリソースとOCIのOracle Databases間のネットワークトラフィックは、Oracle-managed Interconnectを使用します。そのようなものが存在することを知る必要さえありません。 お客様自身が管理するInterconnectを利用するには、OCI ConsoleとAzure Portalにログインし、ネットワークリソースを作成し、 Interconnectを設定する、という手順 が必要です。OCI Dynamic Routing Gateway や Azure E...
続きを読む