Barracuda Web Application Firewall – 機能

高度なサイバー上の脅威からWebサイトとアプリケーションを保護

WebアプリケーションとAPIの保護

すべてのOWASPトップ10攻撃、ゼロデイ攻撃、データ漏洩、およびDDoS攻撃から保護します。階層化されたトラフィック処理エンジンとスマートシグニチャにより、ゼロデイ攻撃を含むWeb攻撃を、より少ないシグニチャで検出・ブロックします。各スマートシグニチャは、40の攻撃固有シグニチャで見つかった攻撃を検出できるため、検出時間が短縮され、全体的な検出が向上します。アプリケーションラーニングは、URLからパラメータレベルまで保護する機能を備えており、ポジティブセキュリティを自動的に追加します。

Barracuda Advanced Bot Protectionは、クラウドベースの機械学習を使用して不正なボットを阻止し、自動スパム、Webや価格のスクレイピング、在庫ホーディング、アカウント乗っ取り攻撃などを容易にブロックします。詳細はこちら

Barracuda Web Application Firewallは、OWASPトップ10 APIへの脅威を含む、すべてのアプリケーション攻撃からXMLおよびJSON RESTのAPIを保護します。
API Discovery機能により、構成が容易になり、構成ミスを防ぐことができます。詳細はこちら

多くの場合、標的型攻撃の最初のステップは、公開されているアプリケーションを調査して、基盤となるサーバ、データベース、およびオペレーティングシステムについて学習することです。 クローキングは、サーバーバナー、エラーメッセージ、HTTPヘッダ、リターンコード、デバッグ情報、またはバックエンドIPアドレスが潜在的な攻撃者に漏洩することを抑制することにより、攻撃の偵察を防ぎます。

クライアントに送信される前に、URLを暗号化し、元のURLまたはディレクトリ構造が外部から詮索されることが無いようにします*。Webアプリケーションのエンドユーザは、Barracuda Web Application Firewallが復号化する暗号化URLのみを使用して、サイトを操作およびブラウズします。復号化プロセスでは、URLクエリまたはパラメータ改ざん、悪意のあるコンテンツインジェクション、または強制ブラウズ攻撃を迅速に検出します。

* モデル660以上

企業は、クライアントのソースアドレスによって、Webリソースへのアクセスを制御できます。Barracuda Web Application Firewallは、アクセスをGEO IPに基づいて制御して、特定の地域に制限できます。また、Barracuda Reputational Databaseと統合されており、疑わしいIPアドレス、ボット、Torネットワーク、および攻撃者がアイデンティティと場所の隠蔽によく悪用する他の匿名プロキシを検出できます。IPアドレスがリスクとして検出されると、管理者は、アクセスを許可する前に、ブロック、制限、スロットル、またはCAPTCHAチャレンジを発行することができます。

統合: MaxMind

高度な攻撃を防止するために、Barracuda Advanced Threat Protectionとシームレスに統合されています。Barracuda Web Application FirewallにBarracuda Advanced Threat Protectionを追加するだけで、高度なゼロデイ攻撃を防止できます。CPUエミュレーションベースのサンドボックスでファイルを分析して、WebサイトまたはWebアプリケーションにアップロードされたファイルに埋め込まれたマルウェアを検出および防止できます。

Barracuda Web Application Firewallは、HTTPおよびHTTPSトラフィックを処理するだけでなく、FTPおよびFTPSトラフィックを検査し、特定のFTPコマンドを許可/拒否するように設定できます。また、XML、JSONなどのアプリケーションプロトコルのインスペクション機能を実装しており、HTTP2とHTML5のWebソケットトラフィックをプロキシするように設定できます。

正規のユーザをボットネットと区別するヒューリスティックフィンガープリンティングとIPレピュテーションを用いて、大規模なDDoS攻撃ではない高度なアプリケーションレイヤDDoS(Slowloris、RUDY、およびSlow Read)攻撃を防止します。アプリケーション中心のしきい値、プロトコルチェック、セッションの整合性、アクティブとパッシブのクライアントチャレンジ、クライアントレピュテーションブラックリストの履歴、位置情報、異常なアイドル時間の検出など、さまざまなリスク評価技術を使用して、アプリケーションDDoSを防止します。

ボリューメトリックDDoS攻撃が増加しているのは、攻撃者が利用できる計算機資源により、ネットワーク全体をダウンさせるような大規模な攻撃を容易に行うことができるためです。多くの場合、このような攻撃のエントリポイントは負荷の大きい企業のWebサイトです。Barracuda Web Application Firewallは標的のWebサイトに到達する前にトラフィックをスクラブするサブスクリプションベースのDDoS対策クラウドサービスを提供しています。このクラウドサービスは接続内のDDoS攻撃のパターンを検出および防止できます。

現在のモバイルアプリケーションとRESTAPIはJSONでデータを転送します。このため、従来のスキャンテストまたは侵入テストのアプローチでは、見落とされがちな保護しにくいまったく新しい攻撃ベクタが開放されます。Barracuda Web Application Firewallは、モバイルアプリケーションとREST APIの攻撃ベクタ全体を保護し、JSONペイロードを含むリクエスト内の悪意のある入力をフィルタリングします。また、パートナーとのAPI SLAを確保し、攻撃者によるファーミングを防止します。JSONをAjaxと併用するインタラクティブWebアプリケーションも保護します。

XMLファイアウォールは、スキーマやWSDLのポイズニング、高度にネストされた要素、再帰的解析、その他のXMLベースの攻撃からアプリケーションを保護します。これにより、クライアントとアプリケーション間の通信や、異なるシステムのアプリケーション間の通信が保護され、見落とされがちな攻撃ベクタを閉じることができます。

リアルタイムの攻撃には、リアルタイムの対応が必要です。Barracuda Active Threat Intelligenceは、大規模な世界規模のネットワークセンサおよび顧客のトラフィックから脅威データを収集します。このデータは、機械学習を使用してほぼリアルタイムで処理され、接続された機器にすぐに適用されるため、新しい脅威や攻撃者を迅速に検出できます。

攻撃者はサードパーティのスクリプトを悪用して、Magecartなどのクライアント側のデジタルスキミング攻撃を実行し、ブラウザから直接個人情報や財務データを盗みます。これらのスクリプトはブラウザによって直接読み込まれるため、これらの攻撃を検知することは難しく、攻撃者はスキャナや同様の防御方法による検知を回避するために高度な技術を使用しています。Barracuda Web Application Firewallは、CSPおよびSRI構成を自動化する機能である、クライアントサイドプロテクション機能を提供し、管理にかかる負担と構成ミスを削減します。これらの機能に加えて、Barracuda Active Threat Intelligenceレイヤは、構成の視覚化やレポート機能を提供し、管理者はスクリプトの使用状況をより詳しく可視化することができます。

アプリケーションデリバリ

Barracuda Web Application Firewallは、すべてのタイプのWEBアプリケーションの負荷分散をサポートしています。負荷分散では、同じIPアドレスからの後続のリクエストを最初のリクエストと同じバックエンドサーバにルーティングできます。この処理では、後続のリクエストが、応答しなくなったサーバにルーティングされないように、サーバの動作状態を確認する必要があります。Barracuda Web Application Firewallは、実際のリクエストへのサーバ応答を追跡し、エラーがユーザ設定のしきい値を超過した場合、サーバをサービス停止としてマークして、サーバの動作状態を監視できます。また、帯域外の動作状態のチェック、つまり、設定された時間間隔で作成され、サーバに送信されたリクエストを実行して、サーバの動作状態をチェックできます。

Barracuda Web Application Firewallは、アプリケーションモジュールを複数のサーバに導入できる大規模なアプリケーションを導入する場合、非常に柔軟です。モジュールのURL、HTTPヘッダおよびパラメータなど、リクエストされたコンテンツは適切なサーバにコンテンツをルーティングするために使用されます。この処理は、モバイルサイト、国ごとのサイトなど、さまざまな基準に基づいて、アプリケーションのさまざまな部分にユーザをリダイレクトする必要がある場合にも役立ちます。

キャッシュ: Barracuda Web Application Firewallは、静的なコンテンツをキャッシュし、同じコンテンツの繰り返しのリクエストに応答するために使用して、アプリケーションの応答時間を高速化します。キャッシュルールは、URLスペース、ファイルサイズ、またはファイルタイプに基づいてチューニングできます。

圧縮: Barracuda Web Application Firewallは、統合的な圧縮エンジンによって、クライアントに送信されたデータを圧縮します。この機能は、帯域幅が低い状況で非常に役立ち、アプリケーションデリバリを高速化します。

トラフィック最適化: Barracuda Web Application Firewallは、プロトコルパフォーマンスを最適化するために、接続プール、TCP多重化など、複数の技術を使用しています。また、接続プール技術によって、接続の作成と終了にかかるオーバーヘッドを削減して、クライアントリクエストへの応答にかかる時間を短縮できます。

データ保護とコンプライアンス

すべてのアウトバウンドトラフィックに機密データの漏洩を防ぎます。クレジットカード番号、SSN(米国社会保障番号)、他のカスタムパターンなどのコンテンツを検出し、管理者が操作せずに、拒否またはマスキングできます。また、情報は、ログに記録され、管理者が漏洩を検出するために使用できます。

PCI DSS、HIPAA、FISMA、SOXなど、アプリケーションごとの主要な要件を順守できるように、わかりやすく低コストに管理者を支援します。ICSA Labsなど、多くのサードパーティラボによって認証されたBarracuda Web Application Firewallは、PCI DSSの6.6項を直接的に満たしており、組み込みのPCIコンプライアンスレポートのコンプライアンスを支援しています。また、堅牢なIAMおよびDLP機能によって、機密データのプライバシーを保護します。

IAM

Barracuda Web Application Firewallは、認証とWebベースのSSOのために、SAML 2.0プロトコルをサポートしています。つまり、SAMLサービスプロバイダ(SP)として、SAML対応のIDP(Identity Providers)と連携できるため、WebサーバにSAMLを実装する複雑な作業を省くことができます。これにより、クラウドとオンプレミスのWebアプリケーション間のSSO、およびSAML 2.0をサポートするAzure ADとの相互運用が容易になります。また、Barracuda Web Application Firewallは、認証とシングルサインオンのためのフェデレーテッドアイデンティティをサポートし、Active Direction Federation Services(AD FS)との統合をサポートしています。

Barracuda Web Application Firewallは、認証用の証明書の提供をクライアントに要求するように設定できるため、証明書を提供しないクライアントとの通信を拒否します。

また、Barracuda Web Application Firewallは、サーバ側の暗号化を提供し、クライアント認証用の証明書をサーバに提供できます。(Barracuda Web Application Firewallはバックエンドサーバへのクライアントとして動作)。クライアントのデジタル証明書の現在のステータスを確認するために、OCSPとCRLをサポートしています。

AD FSだけでなく、AD FSに依存するSharePointなど、他のすべてのWebアプリケーションもセキュアに公開します。Barracuda Web Application Firewallは、Microsoft Web Application Proxyと同様、境界ネットワークであるDMZに導入されます。ドメインへ参加する必要はなく、AD FSファームへのポート443アクセスのみが必要です。公開されたアプリケーションへのHTTP/Sリクエストをインターセプトし、インターネットからの悪意のあるHTTP/Sリクエストを防止します。

Barracuda Web Application Firewallは、Active Directoryなど、RADIUSまたはLDAP互換の認証サービスを完全に統合しています。管理者は、強力なアクセス制御機能を使用するだけでなく、どのユーザまたはグループが特定のリソースにアクセスできるかを緻密に制御することもできます。Barracuda Web Application Firewallは、Kerberos対応環境を保護するために、複数のKerberosサービスへのSSOなど、保護されたWebアプリケーションからの認証をユーザに代わって実行することもできます。

Barracuda Web Application Firewallは、強力なユーザ認証を実行するために、クライアント証明書、SMSパスコード、およびRSA SecurIDなどのハードウェアトークンなど、多くの2要素認証テクノロジと統合されています。

実装例: SMSパスコード、RSA SecurID

レポート

Barracuda Active Threat Intelligenceダッシュボードにより、個々のボットのレベルまでトラフィックパターンを詳細に視覚化できます。またダッシュボードは、クライアントサイドプロテクション機能の詳細なレポートや視覚化も備えています。これにより管理者は、どのスクリプトがどこで使用されているか、またこれらのスクリプトの現在の構成やステータスを簡単に識別することができます。

強力なグラフィカルレポートでは、攻撃、Webトラフィック、および企業コンプライアンスを迅速に分析できます。50種類以上のさまざまな定義済みレポートを使用でき、攻撃タイプ、トラフィック、時間間隔などの多くのフィルタによって、さらに簡単にカスタマイズできます。

作成されたレポートは、ドリルダウン機能を備えたインタラクティブなものとなっています。レポートでは、PCIコンプライアンス、セキュリティ、監査、Webトラフィック、および位置情報を分析できます。レポートは、オンデマンドで作成することも、メールまたはFTPで複数の受信者に定期的に配信するようにスケジュールすることもできます。

すべてのクライアントリクエスト、管理者による変更、およびファイアウォールアクションがログに記録されます。このため、コンプライアンスとセキュリティポリシーチューニングのための包括的な監査ログを使用できます。Barracuda Web Application Firewallは、ログからのデータを使用して、攻撃、Webトラフィック、およびコンプライアンスに関するグラフィカルレポート、または他の多くの分析レポートを作成します。ログは、SyslogまたはFTPでサードパーティの分析スイートにエクスポートすることもできます。

Barracuda Web Application Firewallはデフォルトで多くの一般的なSIEMソリューションと統合されています。ログは、このようなSIEMソリューションに必要な特定の形式で送信されるため、最も簡単な統合を確保できます。

また、Barracuda Web Application Firewallは高度にカスタマイズ可能なログエクスポートエンジンを実装しています。Syslogを使用するすべてのSIEMソリューションをこのエンジンと統合できます。管理者は、特定のログ形式を定義して、完全な統合を確保できます。

実装例: HPE ArcSight、Splunk、RSA enVision、Symantec SIM、およびQRadar

管理

Barracuda Web Application Firewallは、迅速なリカバリを実行するために、フェールオーバーによって、アクティブ/パッシブまたはアクティブ/アクティブのペアでクラスタリングできます。また、セキュリティ設定と環境をクラスタ間で自動的に同期するため、障害からの迅速なリカバリを実行できます。

Barracuda WAF Control Centerは、ロールベースの管理によって、Barracuda Web Application Firewallのマルチテナント環境を簡単に中央管理できます。

Barracuda Web Application Firewallはアプライアンスをプログラムで設定および監視できる完全なREST APIを実装しています。アプライアンスの機能は任意のプログラミング言語で実行できるREST準拠のインターフェースで公開されています。REST APIでは、プログラミング可能な環境でスケーラビリティを活用して、自動化を実行し、市場投入までの時間を短縮し、コストを削減できます。

世界中の企業は、導入と設定ワークフローを自動化するために、Puppet、Chef、Ansibleなどの設定管理ソフトウェアを使用しています。Barracuda Web Application Firewallはカスタムモジュールをサポートしているため、DevOps担当者はBarracuda Web Application Firewallの設定を自動化できます。

複数のアプライアンスでアプリケーションセキュリティポリシーを管理すると、エラーが発生しやすくなる可能性があります。Barracuda Web Application Firewallはセキュリティポリシーのモデルとして使用するベースラインのセキュリティ設定を定義できるセキュリティテンプレートを実装しています。テンプレートを使用すると、特定のアプリケーション、Webポータル、プラットフォーム、フレームワーク、またはその一部を保護するように設計されたセキュリティポリシーを迅速に作成できます。テンプレートでは、生産性を向上し、ヒューマンエラーを削減できます。また、導入時間を短縮し、ポリシーコンプライアンスを確保できます。

中央管理

Barracuda WAF Control Centerは、管理者が、設定が異なる地理的に分散した複数のBarracuda Web Application Firewallを1つのコンソールで管理できる中央管理システムです。ハイブリッドハードウェア、仮想環境、およびクラウド環境を1つのコンソールで管理できるため、システム管理者は効率的でセキュアな管理を行うことができます。

組み込みの証明書レポートでは、接続しているさまざまなBarracuda Web Application Firewallにインストールされているすべての証明書を単一コンソールで表示し、有効期限の範囲に基づく有効期限レポートを提供します。

中央管理通知ビューでは、設定されたすべてのサービスのステータスに関する統合的で緻密な情報を提供します。接続している複数のBarracuda Web Application Firewallからのアラートは、情報過多を最小限に抑制するために、一括して送信されます。

使いやすさ

信頼できるホストからのWebトラフィックをサンプリングすることにより、アプリケーションのポジティブなセキュリティプロファイルを構築します。 有効にすると、ポジティブセキュリティプロファイルにより、管理者はアプリケーションの機密部分にきめ細かいホワイトリストルールを適用できます。 これにより、攻撃のリスクが大幅に軽減され、ゼロデイ脆弱性の防止に役立ちます。

アプリケーションのセキュリティテンプレートを自動的に設定し、検出した問題を防止するために、Barracuda Vulnerability Manager、Cenzic Hailstorm、HPE Security WebInspect、HPE Security Fortify On Demand、およびIBM AppScanと統合されています。このようなスキャナは、スキャナからの出力データによって(管理者が操作せずに)、自動的に実行されます。

Barracuda Web Application Firewallは、Denim Threadfixとの統合によって、20以上の脆弱性スキャナと統合されています。

複雑なアプリケーションのWAF設定・管理には、時間がかかる場合があります。
アプリケーションが頻繁に変更されると、管理者は変更に合わせてWAF設定を調整する必要があり、管理者のオーバーヘッドが大幅に増加します。

Barracuda Web Application FirewallおよびWAF-as-a-Serviceの自動構成エンジンは、アプリケーションの実トラフィックで機械学習モデルを実行し、このデータにもどづいた推奨構成でWAFのセキュリティルールを改善します。

Barracuda WAF の評価

評価依頼はこちら