NetScaler Web App Firewall
NetScaler Web App Firewallには、さまざまなアプリケーションセキュリティ要件を満たすように簡単に構成できるオプションが用意されています。一連のセキュリティチェックで構成される Web App Firewall プロファイルを使用すると、詳細なパケットレベルの検査を行うことで、要求と応答の両方を保護できます。各プロファイルには、基本保護または高度な保護を選択するオプションが含まれています。保護機能によっては、他のファイルを使用する必要がある場合があります。たとえば、XML 検証チェックには WSDL ファイルまたはスキーマファイルが必要な場合があります。プロファイルは、署名やエラーオブジェクトなどの他のファイルを使用することもできます。これらのファイルはローカルで追加することも、事前にインポートして将来使用するためにアプライアンスに保存することもできます。
各ポリシーはトラフィックのタイプを識別し、そのトラフィックは、ポリシーに関連付けられたプロファイルに指定されたセキュリティチェック違反がないか検査されます。ポリシーには異なるバインドポイントを設定でき、それによってポリシーの範囲が決まります。たとえば、特定の仮想サーバーにバインドされたポリシーが呼び出され、その仮想サーバーを通過するトラフィックのみについて評価されます。ポリシーは、指定された優先順位の順に評価され、リクエストまたはレスポンスに最初に一致したポリシーが適用されます。
-
Web App Firewall 保護の迅速な導入
Web App Firewall セキュリティを迅速に展開するには、次の手順を使用できます。
- Web App Firewall プロファイルを追加し、アプリケーションのセキュリティ要件に適したタイプ (html、xml、JSON) を選択します。
- 必要なセキュリティレベル (基本または詳細) を選択します。
- 署名や WSDL などの必要なファイルを追加またはインポートします。
- ファイルを使用するようにプロファイルを設定し、その他の必要な変更をデフォルト設定に加えます。
- このプロファイルに Web App Firewall ポリシーを追加します。
- ポリシーをターゲットバインドポイントにバインドし、優先度を指定します。
-
Web App Firewall エンティティ
Profile:Web App Firewall プロファイルは、検索対象と何をすべきかを指定します。要求と応答の両方を検査して、チェックする必要のある潜在的なセキュリティ違反と、トランザクションの処理時に実行する必要のあるアクションを決定します。プロファイルは、HTML、XML、または HTML と XML のペイロードを保護できます。アプリケーションのセキュリティ要件に応じて、基本プロファイルまたは詳細プロファイルを作成できます。基本的なプロファイルは、既知の攻撃から保護できます。より高いセキュリティが必要な場合は、高度なプロファイルをデプロイしてアプリケーションリソースへのアクセスを制御し、ゼロデイ攻撃をブロックできます。ただし、基本プロファイルを変更して高度な保護を提供することも、その逆も可能です。複数のアクション (ブロック、ログ、学習、変換など) を選択できます。高度なセキュリティチェックでは、クライアント接続の制御と監視にセッション Cookie と隠しフォームタグを使用する場合があります。Web App Firewall プロファイルは、トリガーされた違反を学習し、緩和ルールを提案できます。
基本保護:基本プロファイルには、開始 URL および拒否 URL 緩和ルールの事前構成済みセットが含まれます。これらの緩和ルールは、どの要求を許可し、どの要求を拒否する必要があるかを決定します。受信したリクエストはこれらのリストと照合され、設定されたアクションが適用されます。これにより、ユーザーは緩和ルールの構成を最小限に抑えてアプリケーションを保護できます。開始 URL ルールは、強制的なブラウジングから保護します。ハッカーによって悪用される既知の Web サーバーの脆弱性は、デフォルトの URL の拒否ルールのセットを有効にすることで検出およびブロックできます。バッファオーバーフロー、SQL、クロスサイトスクリプティングなど、一般的に起動される攻撃も簡単に検出できます。
Advanced Protections:名前が示すように、高度な保護は、より高いセキュリティ要件を持つアプリケーションに使用されます。リラクゼーションルールは、特定のデータのみへのアクセスを許可し、残りのデータをブロックするように構成されています。このポジティブなセキュリティモデルは、基本的なセキュリティチェックでは検出されない可能性のある未知の攻撃を軽減します。すべての基本的な保護機能に加えて、高度なプロファイルではブラウジングの制御、Cookie のチェック、さまざまなフォームフィールドの入力要件の指定、フォームの改ざんやクロスサイトリクエスト偽造攻撃からの保護などにより、ユーザーセッションを追跡します。トラフィックを観察して適切な緩和策を講じるラーニングは、多くのセキュリティチェックでデフォルトで有効になっています。使いやすいが、高度な保護は、セキュリティを強化するだけでなく、より多くの処理を必要とし、パフォーマンスに影響を与えることができるキャッシュの使用を許可しないため、十分に考慮する必要があります。
インポート:インポート機能は、Web App Firewall プロファイルで外部ファイル、つまり外部または内部 Web サーバーでホストされているファイル、またはローカルマシンからコピーする必要がある場合に役立ちます。ファイルをインポートしてアプライアンスに保存すると、特に外部Webサイトへのアクセスを制御する必要がある場合、コンパイルに時間がかかる場合、大きなファイルをHAデプロイメント間で同期する必要がある場合、または次の方法でファイルを再利用できる場合に便利です。複数のデバイス間でコピーします。例:
- 外部 Web サーバーでホストされている WSDL は、外部 Web サイトへのアクセスをブロックする前にローカルにインポートできます。
- Cenzicなどの外部スキャンツールで生成された大きな署名ファイルは、NetScaler ADC アプライアンスのスキーマを使用してインポートおよびプリコンパイルできます。
- カスタマイズされた HTML または XML エラーページは、外部 Web サーバーからインポートすることも、ローカルファイルからコピーすることもできます。
署名:シグニチャは、パターンマッチングを使用して悪意のある攻撃を検出し、トランザクションのリクエストとレスポンスの両方をチェックするように構成できるため、強力です。これらは、カスタマイズ可能なセキュリティソリューションが必要な場合に推奨されるオプションです。シグネチャの一致が検出されたときに実行するアクションには、複数の選択肢(ブロック、ログ、学習、変換など)を使用できます。Web App Firewall には、1,300 を超える署名ルールで構成される既定の署名オブジェクトが組み込まれており、自動更新機能を使用して最新のルールを取得することもできます。他のスキャンツールで作成されたルールもインポートできます。署名オブジェクトは、Web App Firewall プロファイルで指定されている他のセキュリティチェックと連携できる新しいルールを追加することでカスタマイズできます。シグニチャルールには複数のパターンを含めることができ、すべてのパターンが一致した場合にのみ違反のフラグを立てることができるため、誤検出を防ぐことができます。ルールのリテラル
fastmatchパターンを注意深く選択すると、処理時間を大幅に最適化できます。ポリシー:Web App ファイアウォールポリシーは、トラフィックをフィルタリングし、異なるタイプに分割するために使用されます。これにより、アプリケーションデータに対してさまざまなレベルのセキュリティ保護を実装する柔軟性が得られます。機密性の高いデータへのアクセスは高度なセキュリティチェック検査の対象となり、機密性の低いデータは基本レベルのセキュリティ検査で保護されます。ポリシーは、無害なトラフィックのセキュリティチェック検査をバイパスするように設定することもできます。セキュリティを高くするとより多くの処理が必要になるため、ポリシーを慎重に設計することで、パフォーマンスを最適化しながら必要なセキュリティを実現できます。ポリシーの優先度によって評価される順序が決まり、そのバインドポイントによって適用範囲が決まります。
ハイライト
- さまざまなタイプのデータを保護し、さまざまなリソースに適切なレベルのセキュリティを実装しながら、パフォーマンスを最大限に引き出すことで、幅広いアプリケーションを保護できます。
- セキュリティ設定を柔軟に追加または変更できます。基本保護と高度な保護を有効または無効にすることで、セキュリティチェックを強化または緩和できます。
- HTML プロファイルを XML または Web2.0 (HTML+XML) プロファイルに変換できます。逆に、さまざまなタイプのペイロードに柔軟にセキュリティを追加できます。
- 簡単に導入できるアクションで、攻撃をブロックしたり、ログで監視したり、統計情報を収集したり、一部の攻撃文字列を変換して無害化したりすることができます。
- 受信したリクエストを検査することで攻撃を検出し、サーバーから送信された応答を検査することで機密データの漏洩を防ぐことができます。
- トラフィックパターンから学習して、簡単に編集できる緩和ルールを提案し、例外を許容するように展開できます。
- カスタマイズ可能なシグネチャの力を利用して特定のパターンに一致する攻撃をブロックし、ポジティブセキュリティモデルチェックを基本または高度なセキュリティ保護に柔軟に使用できるハイブリッドセキュリティモデル。
- PCI-DSS 準拠に関する情報を含む、包括的な構成レポートが入手可能。