Barracuda Application Protection

単一の総合プラットフォームですべての Web アプリと API を保護

Webアプリケーションの保護

すべての OWASP Top 10攻撃、ゼロデイ攻撃、データ漏洩、およびDDoS攻撃から保護します。階層化されたトラフィック処理エンジンとスマートシグネチャは、ゼロデイ攻撃を含むWeb攻撃を検出してブロックするために、より少ない攻撃検出シグネチャを使用します。各スマートシグネチャは、40の攻撃固有のシグネチャで見つかった攻撃を検出できるため、検出時間が短縮され、全体的な検出が改善されます。

クライアントソースアドレスを使用して、組織はWebリソースへのアクセスをコントロールできます。Barracuda Application ProtectionはGEO IPに基づくアクセスをコントロールできるため、特定の地域にのみアクセスを制限できます。また、Barracuda Reputational Databaseとの統合で、攻撃者のIDや位置情報を隠すために使用されることの多い、疑わしいIP アドレス、ボット、TORネットワークやその他の匿名のプロキシを特定できます。プロキシ、VPN、自律システム番号(ASN)に基づくネットワーク全体をブロックできる機能も含まれています。

すべてのアウトバウンドトラフィックを検査し、機密データの漏洩を防止します。クレジットカード番号、米国の社会保障番号、またはその他のカスタムパターンなどのコンテンツが識別され、管理者の介入なしにブロックまたはマスキングできます。さらに情報はログに記録され、管理者は潜在的な漏洩を見つけるために使用できます。

攻撃者はサードパーティのスクリプトを悪用して、Magecartなどのクライアント側のデジタルスキミング攻撃を実行し、個人情報や財務データをブラウザから直接盗みます。これらのスクリプトはブラウザから直接読み込まれ、攻撃者は高度な技術を使用してスキャナなどの防御方法による検出を回避しているため、これらの攻撃を検出することは困難です。Barracuda Application Protectionには、CSPとSRIの構成を自動化する機能であるクライアントサイドプロテクションが含まれており、管理負担と構成エラーを削減します。これらの機能に加えて、Barracuda Active Threat Intelligenceはこうした構成の視覚化とレポートを提供し、これらのスクリプトがどのように使用されているかをより深く可視化します。

すべてのプランで利用できる組み込みのウイルス対策エンジンは、ファイルのアップロード時にウイルスをスキャンして検出します。

Barracuda Advanced Threat Protectionとのシームレスな統合により、高度なゼロアワー脅威に対するセキュリティを提供します。CPUエミュレーションベースのサンドボックスでファイルを分析して、アプリケーションにアップロードされたファイルの奥深くに埋め込まれたマルウェアを検出してブロックできます。

Barracuda Active Threat Intelligenceは、受信した各リクエストを、リクエストパラメータに基づくリスクスコアで自動的に分類します。これらのリスクスコアは、ボットや複雑な攻撃者などの高度な脅威を特定してブロックするために、バックエンドMLモデルによって使用されます。

フルスペクトルのDDoS対策

攻撃者は、コンピュータリソースを悪用して、ネットワーク全体をダウンできる全面的な攻撃を非常に簡単に実行できるため、大規模なDDoS攻撃が増加しています。多くの場合、このような攻撃のエントリポイントは負荷の大きい企業のWebサイトです。Barracuda WAF-as-a-Serviceは標的のWebサイトに到達する前にトラフィックをスクラブする非従量制ベースのDDoS対策クラウドサービスを提供しています。このクラウドサービスは接続内のDDoS攻撃のパターンを検出および防止できます。

大規模な DDoS 攻撃とは異なる高度なアプリケーションレイヤー DDoS(Slowloris、RUDY、Slow Read)攻撃から保護し、ヒューリスティックフィンガープリンティングと IP レピュテーションを使用して、実際のユーザとボットネットを区別します。アプリケーション中心のしきい値、プロトコルチェック、セッションの整合性、アクティブとパッシブのクライアントチャレンジ、クライアントレピュテーションブラックリストの履歴、位置情報、異常なアイドル時間の検出など、さまざまなリスク評価技術を使用して、アプリケーション DDoS を防止します。

Barracuda Application Protectionは、IPとクライアントのフィンガープリントに基づき、着信クライアントリクエストのレート制限を提供します。レート制限は、一部のユーザがリクエストを高速送信してアプリケーションを過負荷にしようとする可能性があるピーク時に特に役立ちます。無制限のルール数を使用して、アプリケーションまたはURLレベルでレート制限を適用できます。

APIセキュリティ

Barracuda Application Protectionは、XML、JSON、GraphQL APIをOWASP Top 10 APIの脅威を含むすべてのアプリケーション攻撃から保護します。

JSON APIのスキーマをインポートし、APIの定義に基づいてセキュリティルールを自動作成します。OpenAPIおよびGoogle API形式のスキーマに対応しています。

シャドウAPIとゾンビAPIは、アプリケーションを防御する側にとって大きな脅威です。シャドウAPIは、Webアプリケーションによってデプロイされ、管理者に把握されていないため、安全でないAPIです。ゾンビAPIは、古いバージョンのAPIなど、使用されなくなった可能性があるAPIエンドポイントですが、依然としてクエリに積極的に応答し、保護されていません。Barracuda Application Protectionは、機械学習を使用してライブトラフィック分析からこれらのAPIエンドポイントを検出し、それらを自動的に保護して、攻撃面を大幅に削減します。

APIは、自動化を使用してアクセスできるように構築されていますが、多くの場合、この機能は、APIを過負荷にしてSLAをバイパスしたり、アプリケーションを完全にダウンさせたりするために悪用される可能性があります。Barracuda Application Protectionは、エンドポイントレベルで適用できるAPIのレート制限機能を提供し、不正な動作をするクライアントがAPIを遅くしたり停止させたりする能力を低減します。

高度なボット保護

Webスクレイピングとボットスパムは、アプリケーションが直面する最も一般的な種類のボットの問題です。Barracuda Application Protectionは、ハニーポット、行動分析、シグネチャを組み合わせて使用し、これらのボット攻撃を検出してブロックします。

Barracuda Application Protectionには、10,000を超える個々のシグネチャを含む、定期的に更新されるボットシグネチャデータベースが含まれています。これらのシグネチャを使用して、ボットがアプリケーションに到達する前にボットを識別してブロックします。

リアルタイムの攻撃にはリアルタイムの対応が必要です。Barracuda Active Threat Intelligenceは、世界中の大規模なセンサーネットワークと顧客トラフィックから脅威データを収集します。このデータは機械学習を使用してほぼリアルタイムで処理され、接続されたユニットにすぐにプッシュされるため、新しい脅威や攻撃者を迅速に検出できます。

Barracuda Application Protectionには、ボットや攻撃者の速度を低下させたり停止するための複数の方法があります。これらの方法には、JavaScriptチャレンジとCAPTCHAが含まれます。
統合:reCAPTCHA v2およびv3、hCAPTCHA

ブルートフォース攻撃では、試行錯誤を繰り返して、偵察の一環として、ログイン認証情報やアプリケーションの隠された部分を特定しようとします。Barracuda Application Protectionは、単一の IP/ソースからの攻撃や複数のIP/ソースからの低速攻撃など、種類に関わらず攻撃を特定してブロックし、アプリケーションを保護します。

クレデンシャルスタッフィングまたはパスワードスプレー攻撃は、漏洩または盗まれた認証情報のデータベースを使用して、パスワードの再利用を特定し、アプリケーションを侵害しようとする、アカウント乗っ取り攻撃の一種です。Barracuda Active Threat Intelligenceは、ログインが検証される以前に漏洩した認証情報のデータベースを備えており、一致が見つかった場合、これらのログイン試行はブロックされ、管理者に警告されます。

より高度な形式でのアカウント乗っ取り攻撃では、組織内の特定の個人を標的にして認証情報を盗み出し、組織に侵入します。Barracuda Active Threat IntelligenceクラウドのPrivileged Account Protectionは、行動分析を使用して、ユーザーのログインと閲覧パターンを理解します。ユーザーの行動がいつものパターンと異なる場合、管理者は攻撃を特定してブロックするように警告されます。

Barracuda Advanced Bot Protectionは、クラウドベースの機械学習を使用して悪意のあるボットを阻止し、自動化されたスパム、Webおよび価格のスクレイピング、在庫の買いだめ、アカウント乗っ取り攻撃などを簡単にブロックします。

ほとんどのIPアドレスには、背後に複数のユーザーとデバイスが含まれています。1人のユーザーの不正行為のために数百人のユーザーがいるIPアドレス全体をブロックすると、通常、ユーザー側に重大な問題が発生します。Barracuda Application Protectionは、IP アドレスの背後にある個々のデバイスを識別でき、ほとんどのモジュールは必要に応じてデバイスレベルまたは IP レベルでブロックを強制できます。

安全なアプリケーション配信

Barracuda Application Protectionは、搭載アプリケーション用の統合CDNを提供します。CDNには118を超えるPoPがあり、世界中の100か所のうち最も近いクライアントにトラフィックを提供できます。

Barracuda Application Protectionは、アプリケーションの認証と承認を発行するためのきめ細かなAAA機能を提供します。機能には、クライアント証明書、JSON Webトークン、SAML、OpenID Connectが含まれます。

Barracuda CloudGen Accessは、すべてのデバイスと場所においてアプリケーションとワークロードへの安全なアクセスを提供する、革新的なZTNAソリューションです。Barracuda Application Protectionには、Barracuda CloudGen Accessライセンスが含まれており、インターネット上で公開されている社内アプリケーションに安全なアクセスコントロール領域を提供します。

Barracuda Application Protection に搭載されたアプリケーションは、複数のサーバで構成され負荷を分散し、アップタイムを向上させることができます。Barracuda Application Protection には、アプリケーションサーバを継続的に監視して障害が発生した場合にトラフィックを切り替え、アップタイムを改善するサーバヘルスモニタリング機能も含まれています。

Barracuda Application Protectionのコンテンツルーティングは、着信リクエストで多数のパラメータを使用してトラフィックを識別し、アプリケーションのさまざまな部分にリダイレクトします。これには、HTTP UserAgentに基づくモバイルアプリケーションへのユーザーのリダイレクト、A/Bテスト用のトラフィックの転送、Blue-Greenデプロイの有効化など、さまざまな内容が含まれます。

今日の多くのアプリケーションは、コンテナとマイクロサービスを使用してデプロイされています。通常、インターネットからアプリケーションへのトラフィック(North-Southトラフィック)は保護されますが、マイクロサービス間のトラフィック(East-Westトラフィック)は保護されません。Barracuda Application Protectionは、追加のデプロイモジュールとしてコンテナ化されたWAFを提供します。このモジュールが、SaaSモデルと連携してこのクリティカルパスを保護します。

自動化、レポート、分析、サービス

Barracuda Application Protectionでは、すべてのアプリケーションログ(トラフィックとファイアウォール)を外部のSIEMソリューションにエクスポートして、追加保持と分析を行うことができます。複数のSIEM統合がすぐに利用でき、ログはJSON、Syslog、AMQP/Sとしてエクスポートできます。

Barracuda Active Threat Intelligenceダッシュボードを使用すると、Webサイトにアクセスするトラフィックパターンとクライアントの種類を一目で把握できます。一つの画面でトラフィックパターン全体を確認するほか、特定のアプリケーションを掘り下げて確認でき、Webサイトを訪問したすべてのボット、攻撃の頻度、およびデータの転送量を確認でき、デジタル資産を保護する方法についてデータに基づいた決定を下せるようになります。

Barracuda Active Threat Intelligenceは、高度なボット保護と自動構成エンジン用のクラウド機械学習レイヤーを提供します。自動構成エンジンは、接続されたユニットからのすべてのアプリケーショントラフィックを確認し、管理負担を削減するアプリケーション固有の構成の推奨事項を提供します。

複雑なデプロイ、アプリの頻繁な更新、新しいアプリの迅速なデプロイにより、脆弱性が簡単に発生する可能性があります。Barracuda Application Protectionは、高度な脆弱性スキャナを活用して、デプロイ全体の脆弱性を常に監視します。脆弱性が見つかった場合は、まだ開発中のアプリであっても、自動的に、またはワンクリックで修正できます。脆弱性の発見と修復に関する詳細なレポートは、コンプライアンスの確立に役立ちます。

Barracuda Application ProtectionはAPIファーストの設計で、製品のすべての機能をコンフィギュレーションAPI経由で調整できます。すべてのユーザが利用でき、一般向けの自動化ツール用のサンプルコードやモジュールも、自動化ツールチェーンに簡単に統合できるようにGitHubページで提供されます。

Barracuda Application Protectionのすべての構成変更は、スナップショットとして保存されます。これらのスナップショットはJSONで作成され、編集可能で、バックエンドでコンフィギュレーションAPI を使用します。この機能により、DevOps/SecOpsツールとの統合が容易になり、簡単に反復可能なデプロイが可能となり、統一されたセキュリティポリシーを適用できます。