WAF(Webアプリケーションファイアウォール)が非常に複雑に思われる理由
トピック: Microsoft Azure、Barracuda WAF-as-a-Service
2021年2月8日、Rich Turner
バラクーダが潜在顧客および顧客とクラウドセキュリティについて話し合う場合は、複雑性が必然的に問題として生じます。多くのWebアプリケーション攻撃は、誤設定されたWAFを標的としているため、成功しています。最もよくある攻撃の一つであるSQLi(SQLインジェクション)は新しいものではありませんが、Heartland(Heartland Payment Systems)が2008年にSQLi攻撃を受けてからも、多くの企業は何も学習していないと思われます。当時、Heartlandは米国6位の決済代行会社であり、数百万の企業と個人のクレジット/デビット口座が侵害を受けました。
HeartlandはWAFを導入していましたが、Heartlandのセキュリティ設定ではSQLiを防止できませんでした。Heartlandは、1億4,500万ドルの補償金を支払い、PCI DSS(Payment Card Industry Data Security Standard、ペイメントカード業界データセキュリティスタンダード)コンプライアンスに一時的に違反しました。また、株価がその後3か月間にわたって約80%下落しました。この攻撃によって大規模な損害と信用の低下が生じたにもかかわらず、SQLiは依然として2019年のすべてのWebアプリケーション攻撃の65%以上を占めています。この割合は2017年の44%から増加しています。
SQLiは潜在的なWeb攻撃の規模という点で簡単に解決できる問題と見なされているため、Webサイトを攻撃する方法だけでなく、攻撃を防止するソリューションも多いことは、すぐに明らかになります。攻撃は、それぞれ少し異なり、1つの弱点を突くことができます。その点に複雑性があります。
SQLiは「誰も信じるな」と「動的SQLを使用するな」の簡単な例です。しかし、この例は、特に、リモート環境では「言うは易く行うは難し」です。WAFは疑わしいコードとインジェクションを検出するための特定の機能を実装していますが、このような機能は、正しく適用する必要があります。
成功しているWebアプリケーション攻撃はSQLiだけではありません。次によくある攻撃は、Webサイトに偽装の自動的な要求が殺到し、WebサイトがクラッシュするDDoS(分散サービス拒否)です。DDoSを防止するために導入する必要があるセキュリティと設定はSQLi、XSS(クロスサイトスクリプティング)、および他の攻撃の防止に必要なものと大きく異なります。
非常に多くの攻撃が成功している理由
WAFは上記のWeb攻撃のすべてを防止するように設計されていますが、では、非常に多くの攻撃が成功している理由は何でしょうか。企業のWeb資産と顧客は類似しているというより独自であることが判明しています。WAFは、企業およびユーザごとに設定する必要があります。SQLiの例に話を戻すと、企業は、ユーザが提供するコードを操作する場合、WAFのSQLインスペクションの部分を無効にしたいと考えます。この設定こそHeartlandが犯した過ちです。
別のよくある機能は既知の攻撃者のホットスポットまたは場所からのすべてのIPアドレスを拒否するジオブロッキングです。この機能はビジネスを国際的に行っていない企業にとって優れた対策であるかもしれません。しかし、多くの企業は、商品を外国に販売するか、外国から購入して、ビジネスを国際的に行っています。このような企業が、ある地域全体を拒否することはできないかもしれません。
WAFの設定にはバランスが必要です。すべての保護を有効にし、すべてのトラフィックを拒否すると、アプリケーションへのトラフィックをまったく受信できません。また、オンラインビジネスを行うことができません。多くの企業はWAFを監視モードに設定します。特定の保護が導入されていますが、IT部門が必要に応じてセキュリティを強化できるように、WAFは特定の攻撃を監視しています。一方、わかりやすいほぼ汎用的なセキュリティをサービスとして提供されるWAFで提供する設定もあります。このような設定は、ある程度は成功しますが、企業が、デバイスの汎用性に適合しないアプリケーションまたはユーザに直面し、すべてのユーザの保護を無効にすると、失敗します。この問題はアーキテクチャに関するものです。このようなわかりやすいWAFはデータがWAFを通過するかどうかを規定するCRS(Central Rule Set)を採用しています。一方、リバースプロキシのWAFは、データをインターセプトし、双方向のパケットをインスペクションします。また、パケットに検出したものに応じて、カスタマイズされたルールを適用します。
バラクーダのソリューション
バラクーダはソリューションごとの最適な機能と利点を実装するWAFを構築できることを実感しています。また、クラウドデータセンターにWAFを立ち上げ、WAFを構築してきた過去10年間以上にわたる経験に基づく標準的なルールを作成し、フル機能のWAFの機能のすべてを実装するSaaS(Software as a Service)ソリューションとしてリリースできます。ほとんどの使用事例に適合する基本的な保護は、すでに有効ですが、企業は、標準的な保護では正しく保護できないアプリケーションとユーザに直面した場合、調整を行うことができます。
つまり、バラクーダは、サービスとして提供されるWAFのわかりやすさおよび簡単さとともに、従来のWAFのすべての機能を提供しています。
Barracuda WAF-as-a-Serviceは、すべてのアプリケーションの保護をわずか数分で開始できるフル機能のアプリケーションセキュリティサービスです。
原文はこちら:
Why do web application firewalls appear so complex?
February 8, 2021 Rich Turner
https://blog.barracuda.com/2021/02/08/why-do-web-application-firewalls-appear-so-complex/