Azure に ネットスケーラー® ウェブアップファイアウォール を展開する

NetScaler Web App Firewall は、最新のアプリケーションに最先端の保護を提供するエンタープライズグレードのソリューションです。これは、ウェブサイト、ウェブアプリケーション、APIなどの公開資産に対する脅威を軽減します。IPレピュテーションベースのフィルタリング、ボット対策、OWASP Top 10アプリケーション脅威保護、レイヤー7 DDoS保護などが含まれています。また、認証、強力なSSL/TLS暗号、TLS 1.3、レート制限、書き換えポリシーを適用するオプションも含まれています。基本的なWAF保護と高度なWAF保護の両方を使用することで、比類のない使いやすさでアプリケーションを包括的に保護します。数分で稼働を開始できます。さらに、動的プロファイリングと呼ばれる自動学習モデルを使用することで、ユーザーの貴重な時間を節約します。保護されたアプリケーションの動作を自動的に学習することで、開発者がアプリケーションをデプロイおよび変更しても、アプリケーションに適応します。PCI-DSS、HIPAAなど、すべての主要な規制基準および機関への準拠を支援します。当社のCloudFormationテンプレートを使用すると、これまでになく迅速に稼働を開始できます。自動スケーリングにより、トラフィックが増加してもアプリケーションが保護されたままであることをユーザーは安心して確認できます。

NetScaler Web App Firewall は、通常、顧客企業のルーターまたはファイアウォールの背後で、顧客サーバーと顧客ユーザー間のレイヤー3ネットワークデバイスまたはレイヤー2ネットワークブリッジとしてインストールできます。詳細については、「NetScaler Web App Firewall の概要」を参照してください。

ネットスケーラー ウェブアップファイアウォール の展開戦略

1. Webアプリケーションファイアウォールをデプロイする際には、どのアプリケーションまたは特定のデータが最大のセキュリティ保護を必要とし、どれが脆弱性が低く、どれがセキュリティ検査を安全にバイパスできるかを評価します。これにより、ユーザーは最適な構成を考案し、トラフィックを分離するための適切なポリシーとバインドポイントを設計するのに役立ちます。たとえば、ユーザーは、画像、MP3ファイル、動画などの静的Webコンテンツに対するリクエストのセキュリティ検査をバイパスするポリシーを構成し、動的コンテンツに対するリクエストに高度なセキュリティチェックを適用する別のポリシーを構成したい場合があります。ユーザーは、複数のポリシーとプロファイルを使用して、同じアプリケーションの異なるコンテンツを保護できます。

2. 展開のベースラインを設定するには、仮想サーバーを作成し、テストトラフィックを流して、ユーザーシステムを流れるトラフィックの速度と量を把握します。

3. Webアプリケーションファイアウォールをデプロイします。NetScaler ADM と Web Application Firewall StyleBook を使用して、Webアプリケーションファイアウォールを構成します。詳細については、このガイドの以下のStyleBookセクションを参照してください。

4. NetScaler WebアプリケーションファイアウォールとOWASP Top 10を実装します。

Webアプリケーションファイアウォールの3つの保護機能は、一般的な種類のWeb攻撃に対して特に効果的であり、そのため他のどの機能よりも一般的に使用されています。したがって、これらは初期展開で実装する必要があります。それらは次のとおりです。

• HTMLクロスサイトスクリプティング: スクリプトが配置されているWebサイトとは異なるWebサイト上のコンテンツにアクセスまたは変更しようとするスクリプトについて、リクエストとレスポンスを検査します。このチェックがそのようなスクリプトを検出すると、リクエストまたはレスポンスを宛先に転送する前にスクリプトを無害化するか、接続をブロックします。

• HTML SQLインジェクション: フォームフィールドデータを含むリクエストを検査し、SQLコマンドをSQLデータベースに挿入しようとする試みを検出します。このチェックが挿入されたSQLコードを検出すると、リクエストをブロックするか、リクエストをWebサーバーに転送する前に挿入されたSQLコードを無害化します。

  注:

  構成に以下の条件が適用されるように、Web App Firewall が正しく構成されていることを確認してください。

   >-  If users enable the HTML Cross-Site Scripting check or the HTML SQL Injection check (or both).
   >
   >-  User protected websites accept file uploads or contain Web forms that can contain large POST body data.
  

このケースを処理するようにWebアプリケーションファイアウォールを構成する方法の詳細については、アプリケーションファイアウォールの構成: 「Web App Firewall の構成」を参照してください。

• バッファオーバーフロー: Webサーバーでバッファオーバーフローを引き起こそうとする試みを検出するためにリクエストを検査します。

Webアプリケーションファイアウォールの構成

NetScaler Web App Firewall がすでに有効になっており、正しく機能していることを確認してください。Web Application Firewall StyleBook を使用して NetScaler Web App Firewall を構成することをお勧めします。ほとんどのユーザーは、Web Application Firewall を構成する最も簡単な方法であると考えており、間違いを防ぐように設計されています。GUI とコマンドラインインターフェイスはどちらも、主に既存の構成を変更したり、高度なオプションを使用したりする経験豊富なユーザーを対象としています。

SQLインジェクション

NetScaler Web App Firewall の HTML SQL インジェクションチェックは、ユーザーアプリケーションのセキュリティを侵害する可能性のある不正な SQL コードのインジェクションに対する特別な防御を提供します。NetScaler Web App Firewall は、リクエストペイロード内のインジェクションされた SQL コードを次の3つの場所で検査します。1) POST ボディ、2) ヘッダー、3) クッキー。詳細については、HTML SQL インジェクションチェックを参照してください。

クロスサイトスクリプティング

HTML クロスサイトスクリプティング (クロスサイトスクリプティング) チェックは、ユーザーリクエストのヘッダーと POST ボディの両方を検査し、クロスサイトスクリプティング攻撃の可能性を検出します。クロスサイトスクリプトが検出された場合、攻撃を無害化するようにリクエストを変更 (変換) するか、リクエストをブロックします。詳細については、HTML クロスサイトスクリプティングチェックを参照してください。

バッファオーバーフローチェック

バッファオーバーフローチェックは、Web サーバーでバッファオーバーフローを引き起こそうとする試みを検出します。Web Application Firewall が、URL、クッキー、またはヘッダーが設定された長さよりも長いことを検出した場合、バッファオーバーフローを引き起こす可能性があるため、そのリクエストをブロックします。詳細については、バッファオーバーフローチェックを参照してください。

仮想パッチ/シグネチャ

シグネチャは、既知の攻撃からユーザーの Web サイトを保護するタスクを簡素化するための、特定の構成可能なルールを提供します。シグネチャは、オペレーティングシステム、Web サーバー、Web サイト、XML ベースの Web サービス、またはその他のリソースに対する既知の攻撃のコンポーネントであるパターンを表します。事前設定された豊富な組み込みまたはネイティブのルールセットは、パターンマッチングの力を適用して攻撃を検出し、アプリケーションの脆弱性から保護する、使いやすいセキュリティソリューションを提供します。詳細については、シグネチャを参照してください。

NetScaler Web App Firewall は、シグネチャの 自動更新 と 手動更新 の両方をサポートしています。 シグネチャを最新の状態に保つために、自動更新 を有効にすることもお勧めします。

これらのシグネチャファイルは AWS 環境でホストされており、最新のシグネチャファイルを取得するために、ネットワークファイアウォールから NetScaler IP アドレスへのアウトバウンドアクセスを許可することが重要です。リアルタイムトラフィックの処理中に NetScaler のシグネチャを更新しても影響はありません。

アプリケーションセキュリティ分析

アプリケーションセキュリティダッシュボード は、ユーザーアプリケーションのセキュリティ状態を全体的に把握できます。たとえば、セキュリティ違反、シグネチャ違反、脅威インデックスなどの主要なセキュリティメトリックが表示されます。アプリケーションセキュリティダッシュボードには、検出された NetScaler の SYN 攻撃、スモールウィンドウ攻撃、DNS フラッド攻撃などの攻撃関連情報も表示されます。

注:

アプリケーションセキュリティダッシュボードのメトリックを表示するには、ユーザーが監視したいNetScalerインスタンスでAppFlow for Security insightを有効にする必要があります。

アプリケーションセキュリティダッシュボードでNetScalerインスタンスのセキュリティメトリックを表示するには：

1. 管理者資格情報を使用してNetScaler ADMにログインします。

2. アプリケーション > アプリセキュリティダッシュボードに移動し、デバイスリストからインスタンスIPアドレスを選択します。

ユーザーは、グラフにプロットされたバブルをクリックすることで、Application Security Investigatorで報告された不一致をさらに詳しく調べることができます。

ADMでの集中学習

NetScaler Web App Firewallは、SQLインジェクションやクロスサイトスクリプティング（XSS）などの悪意のある攻撃からユーザーのWebアプリケーションを保護します。データ侵害を防ぎ、適切なセキュリティ保護を提供するために、ユーザーは脅威と攻撃に関するリアルタイムの実行可能なデータをトラフィックで監視する必要があります。場合によっては、報告された攻撃が誤検知である可能性があり、それらは例外として提供される必要があります。

NetScaler ADMの集中学習は、WAFがユーザーのWebアプリケーションの動作（通常の活動）を学習できるようにする反復パターンフィルターです。監視に基づいて、エンジンはHTTPトラフィックに適用される各セキュリティチェックに対して、推奨されるルールまたは例外のリストを生成します。

学習エンジンを使用して緩和ルールを展開する方が、必要な緩和策として手動で展開するよりもはるかに簡単です。

学習機能を展開するには、ユーザーはまずユーザーのNetScalerでWebアプリケーションファイアウォールプロファイル（セキュリティ設定のセット）を設定する必要があります。詳細については、「Webアプリケーションファイアウォールのプロファイルの作成」を参照してください。

NetScaler ADMは、各セキュリティチェックに対して例外（緩和策）のリストを生成します。管理者として、NetScaler ADMで例外のリストを確認し、展開するかスキップするかを決定できます。

NetScaler ADMのWAF学習機能を使用すると、次のことができます。

• 次のセキュリティチェックで学習プロファイルを構成します。

  • バッファオーバーフロー

  • HTMLクロスサイトスクリプティング

    注:

    ロケーションのクロスサイトスクリプトの制限はFormFieldのみです。

  • HTML SQLインジェクション

    注:

    HTML SQLインジェクションチェックの場合、ユーザーはNetScalerでset -sqlinjectionTransformSpecialChars ONとset -sqlinjectiontype sqlspclcharorkeywordsを設定する必要があります。

• NetScaler ADMで緩和ルールを確認し、必要なアクション（展開またはスキップ）を実行するかどうかを決定します。

• メール、Slack、ServiceNowを通じて通知を受け取ります。

• ダッシュボードを使用して緩和の詳細を表示します。

NetScaler ADMでWAF学習を使用するには：

1. 学習プロファイルを構成する: 学習プロファイルの構成

2. 緩和ルールを参照する: 緩和ルールとアイドルルールを表示

3. WAF学習ダッシュボードを使用する: WAF学習ダッシュボードを表示

スタイルブック

StyleBooksは、ユーザーアプリケーション向けの複雑なNetScaler構成を管理するタスクを簡素化します。StyleBookは、ユーザーがNetScaler構成を作成および管理するために使用できるテンプレートです。ここでは、ユーザーは主にWebアプリケーションファイアウォールを展開するために使用されるStyleBookに関心があります。StyleBooksの詳細については、StyleBooksを参照してください。

セキュリティインサイト分析

インターネットに公開されているWebおよびWebサービスアプリケーションは、攻撃に対してますます脆弱になっています。アプリケーションを攻撃から保護するために、ユーザーは過去、現在、および差し迫った脅威の性質と範囲、攻撃に関するリアルタイムで実行可能なデータ、および対策に関する推奨事項を可視化する必要があります。Security Insightは、ユーザーがユーザーアプリケーションのセキュリティ状態を評価し、ユーザーアプリケーションを保護するための是正措置を講じるのに役立つ単一ペインソリューションを提供します。 詳細については、[Security Insight] (/ja-jp/citrix-application-delivery-management-service/analytics/security-insight.html)を参照してください。

セキュリティ侵害に関する詳細情報の取得

ユーザーは、アプリケーションに対する攻撃のリストを表示し、攻撃の種類と重大度、ADCインスタンスによって実行されたアクション、要求されたリソース、および攻撃元に関する洞察を得たい場合があります。

たとえば、ユーザーはMicrosoft Lyncに対する攻撃がいくつブロックされたか、どのようなリソースが要求されたか、および攻撃元のIPアドレスを特定したい場合があります。

Security Insightダッシュボードで、Lync > Total Violationsをクリックします。テーブルで、Action Taken列ヘッダーのフィルターアイコンをクリックし、Blockedを選択します。

要求されたリソースに関する情報については、URL列を確認してください。攻撃元に関する情報については、Client IP列を確認してください。

ログ式の詳細を表示

NetScalerは、Application Firewallプロファイルで構成されたログ式を使用して、ユーザーエンタープライズ内のアプリケーションに対する攻撃に対処します。Security Insightでは、ユーザーはADCインスタンスが使用するログ式に対して返された値を表示できます。これらの値には、リクエストヘッダー、リクエストボディなどが含まれます。ログ式の値に加えて、ユーザーは、ADCインスタンスが攻撃に対処するために使用したApplication Firewallプロファイルで定義されたログ式の名前とコメントも表示できます。

前提条件:

ユーザーが以下を確実に行うようにしてください。

• Application Firewallプロファイルでログ式を構成します。詳細については、「Application Firewall」を参照してください。

• NetScaler ADMでログ式ベースのSecurity Insights設定を有効にします。次の手順を実行します。

  • アナリティクス > 設定 に移動し、アナリティクス向け機能の有効化 をクリックします。

  • 「分析機能の有効化」ページで、「ログ式ベースのセキュリティインサイト設定」セクションの下にある「セキュリティインサイトを有効にする」を選択し、「OK」をクリックします。

たとえば、ユーザー企業内の Microsoft Lync への攻撃に対して ADC インスタンスが実行したアクションについて、ログ式の戻り値を表示したい場合があります。

Security Insight ダッシュボードで、Lync > Total Violations に移動します。アプリケーションサマリーテーブルで、URL をクリックして、ログ式の名前、コメント、およびアクションに対して ADC インスタンスによって返された値を含む、Violation Information ページで違反の完全な詳細を表示します。

設定を展開する前に、安全指数を決定します。セキュリティ侵害は、ユーザーが ADC インスタンスにセキュリティ設定を展開した後に発生しますが、ユーザーは展開する前にセキュリティ設定の有効性を評価したい場合があります。

たとえば、ユーザーは IP アドレス 10.102.60.27 の ADC インスタンス上の SAP アプリケーションの設定の安全指数を評価したい場合があります。

Security Insight ダッシュボードのDevicesの下で、ユーザーが設定した ADC インスタンスの IP アドレスをクリックします。脅威指数と攻撃の総数の両方が 0 であることがわかります。脅威指数は、アプリケーションに対する攻撃の数と種類の直接的な反映です。攻撃がゼロであることは、アプリケーションが脅威にさらされていないことを示します。

Sap > Safety Index > SAP_Profile をクリックし、表示される安全指数情報を評価します。

アプリケーションファイアウォールの概要で、ユーザーはさまざまな保護設定の構成ステータスを表示できます。設定がログに設定されている場合、または設定が構成されていない場合、アプリケーションには低い安全指数が割り当てられます。

セキュリティ違反

インターネットに公開されている Web アプリケーションは、攻撃に対して劇的に脆弱になっています。NetScaler ADM を使用すると、実用的な違反の詳細を視覚化して、アプリケーションを攻撃から保護できます。

アプリケーションセキュリティ違反の詳細を表示

インターネットに公開されているWebアプリケーションは、攻撃に対して劇的に脆弱になっています。NetScaler ADMを使用すると、ユーザーは実用的な違反の詳細を視覚化して、アプリケーションを攻撃から保護できます。単一ペインソリューションとして、セキュリティ > セキュリティ違反に移動します。

• ネットワーク、ボット、WAFなどのカテゴリに基づいてアプリケーションセキュリティ違反にアクセスする

• アプリケーションを保護するための是正措置を講じる

NetScaler ADMでセキュリティ違反を表示するには、以下を確認してください。

• ユーザーはNetScalerのプレミアムライセンスを持っていること（WAFおよびBOT違反の場合）。

• ユーザーは、負荷分散またはコンテンツスイッチング仮想サーバーにライセンスを適用していること（WAFおよびBOTの場合）。詳細については、「仮想サーバーでのライセンス管理」を参照してください。

• ユーザーはさらに設定を有効にできます。詳細については、NetScaler製品ドキュメントの「設定」セクションにある手順を参照してください。「設定」

違反カテゴリ

NetScaler ADMを使用すると、ユーザーはすべての違反で利用可能な違反を表示できます。

セットアップ

違反については、Metrics Collectorが有効になっていることを確認してください。デフォルトでは、NetScalerでMetrics Collectorが有効になっています。詳細については、「インテリジェントアプリ分析の構成」を参照してください。

高度なセキュリティ分析を有効にする

• ネットワーク > インスタンス > NetScalerに移動し、インスタンスタイプを選択します。例：MPX。

• NetScalerインスタンスを選択し、アクションの選択リストから分析の構成を選択します。

• 仮想サーバーを選択し、Enable Analytics をクリックします。

• 「アナリティクスを有効にする」ウィンドウで:

  • Web Insight を選択します。ユーザーが Web Insight を選択すると、読み取り専用の Advanced Security Analytics オプションが自動的に有効になります。

  注:

  Advanced Security Analytics オプションは、プレミアムライセンスのADCインスタンスでのみ表示されます。

  • トランスポートモードとして Logstream を選択します。

  • 式はデフォルトでtrueです。

  • OK をクリックします。

Webトランザクション設定を有効にする

• 「分析」>「設定」に移動します。

Settings ページが表示されます。

• 「分析機能の有効化」をクリックします。

• 「Webトランザクション設定」で、「すべて」を選択します。

• 「Ok」をクリックします。

セキュリティ違反ダッシュボード

セキュリティ違反ダッシュボードでは、ユーザーは以下を表示できます:

• すべてのNetScalerおよびアプリケーションで発生した合計違反数。合計違反数は、選択した期間に基づいて表示されます。

• 各カテゴリの合計違反数。

• 影響を受けたADCの合計数、影響を受けたアプリケーションの合計数、および合計発生数と影響を受けたアプリケーションに基づく上位の違反。

違反の詳細については、すべての違反を参照してください。

ボットインサイト

NetScalerでBOTインサイトを設定します。詳細については、ボットを参照してください。

ボットの表示

仮想サーバーをクリックして、アプリケーションサマリーを表示します。

1. アプリケーションの概要詳細を以下のように提供します。

   • 平均RPS – 仮想サーバーで受信した1秒あたりの平均ボットトランザクションリクエスト（RPS）を示します。

   • 深刻度別ボット – 深刻度に基づいて最も多くのボットトランザクションが発生したことを示します。深刻度は、重大、高、中、低に分類されます。

   たとえば、仮想サーバーに深刻度「高」のボットが11770件、深刻度「重大」のボットが1550件ある場合、NetScaler ADMは深刻度別ボットの下に重大 1.55 Kと表示します。

   • 最大ボットカテゴリ – ボットカテゴリに基づいて最も多くのボット攻撃が発生したことを示します。

   たとえば、仮想サーバーにブロックリスト登録されたボットが8000件、許可リスト登録されたボットが5000件、レート制限超過ボットが10000件ある場合、NetScaler ADMは最大ボットカテゴリの下にレート制限超過 10 Kと表示します。

   • 最大地理的ソース – 地域に基づいて最も多くのボット攻撃が発生したことを示します。

   たとえば、仮想サーバーにサンタクララで5000件、ロンドンで7000件、バンガロールで9000件のボット攻撃がある場合、NetScaler ADMは最大地理的ソースの下にバンガロール 9 Kと表示します。

   • 平均ボットトラフィック率 – 人間とボットの比率を示します。

2. マップビューで場所に基づいたボット攻撃の深刻度を表示します

3. ボット攻撃の種類（良好、不良、すべて）を表示します

4. 合計ボット攻撃と、それに対応する設定済みアクションを表示します。たとえば、以下を設定した場合：

   • IPアドレス範囲（192.140.14.9～192.140.14.254）をブロックリストボットとして、これらのIPアドレス範囲のアクションとしてドロップを選択した場合

   • IP範囲（192.140.15.4～192.140.15.254）をブロックリストボットとして、これらのIP範囲のアクションとしてログメッセージの作成を選択した場合

     このシナリオでは、NetScaler ADMは以下を表示します。

     • ブロックリストに登録されたボットの合計

     • ドロップ済みのボットの合計

     • ログのボットの合計

CAPTCHAボットの表示

ウェブページでは、CAPTCHAは、受信トラフィックが人間からのものか、自動ボットからのものかを識別するように設計されています。NetScaler ADMでCAPTCHAアクティビティを表示するには、ユーザーはNetScaler ADMインスタンスでIPレピュテーションおよびデバイスフィンガープリント検出技術のボットアクションとしてCAPTCHAを設定する必要があります。詳細については、ボット管理の設定を参照してください。

NetScaler ADMがボットインサイトに表示するCAPTCHAアクティビティは次のとおりです。

• CAPTCHA試行回数超過 – ログイン失敗後に試行されたCAPTCHAの最大回数を示します

• CAPTCHAクライアントミュート – これらのリクエストが以前にCAPTCHAチャレンジで悪質なボットとして検出されたため、ドロップまたはリダイレクトされたクライアントリクエストの数を示します

• 人間 – 人間ユーザーによって実行されたCAPTCHAエントリを示します

• 無効なCAPTCHA応答 – NetScalerがCAPTCHAチャレンジを送信したときに、ボットまたは人間から受信した不正なCAPTCHA応答の数を示します

ボットトラップの表示

NetScaler ADMでボットトラップを表示するには、NetScalerでボットトラップを設定する必要があります。詳細については、ボット管理の設定を参照してください。

ボットトラップを識別するために、ウェブページでスクリプトが有効になっています。このスクリプトは人間からは隠されていますが、ボットからは隠されていません。NetScaler ADMは、このスクリプトがボットによってアクセスされたときに、ボットトラップを識別して報告します。

仮想サーバーをクリックし、Zero Pixel Requestを選択します。

ボットの詳細を表示

詳細については、Bot Categoryの下にあるボット攻撃の種類をクリックしてください。

選択したCAPTCHAカテゴリの攻撃時間やボット攻撃の総数などの詳細が表示されます。

ユーザーは、棒グラフをドラッグして、ボット攻撃とともに表示する特定の時間範囲を選択することもできます。

ボット攻撃の追加情報を取得するには、クリックして展開します。

• インスタンスIP – NetScalerインスタンスのIPアドレスを示します。

• 合計ボット数 – その特定の時間に発生したボット攻撃の総数を示します。

• HTTPリクエストURL – CAPTCHAレポート用に構成されているURLを示します。

• 国コード – ボット攻撃が発生した国を示します。

• 地域 – ボット攻撃が発生した地域を示します。

• プロファイル名 – ユーザーが設定時に入力したプロファイル名を示します。

高度な検索

ユーザーは、検索テキストボックスと時間期間リストを使用して、ユーザーの要件に応じてボットの詳細を表示することもできます。ユーザーが検索ボックスをクリックすると、検索ボックスには次の検索候補のリストが表示されます。

• インスタンスIP – NetScalerインスタンスのIPアドレス。

• クライアントIP – クライアントのIPアドレス。

• ボットタイプ – GoodまたはBadなどのボットタイプ。

• 重大度 – ボット攻撃の重大度。

• 実行されたアクション – ドロップ、アクションなし、リダイレクトなど、ボット攻撃後に実行されたアクション。

• ボットカテゴリ – ブロックリスト、許可リスト、フィンガープリントなどのボット攻撃のカテゴリ。カテゴリに基づいて、ユーザーはボットアクションを関連付けることができます。

• ボット検出 – ユーザーがNetScalerで設定したボット検出タイプ（ブロックリスト、許可リストなど）。

• 場所 – ボット攻撃が発生した地域/国

• リクエストURL – ボット攻撃の可能性があるURL

ユーザーは、ユーザー検索クエリで演算子を使用して、ユーザー検索の焦点を絞り込むこともできます。たとえば、すべての悪質なボットを表示したい場合：

• 検索ボックスをクリックし、ボットタイプを選択します

• もう一度検索ボックスをクリックし、演算子「=」を選択します

• 検索ボックスをもう一度クリックし、「Bad」を選択します。

• 「Search」をクリックして結果を表示します。

異常に高いリクエストレート

ユーザーは、アプリケーションとの間で送受信されるトラフィックを制御できます。ボット攻撃は、異常に高いリクエストレートを実行する可能性があります。たとえば、ユーザーがアプリケーションを1分あたり100リクエストを許可するように構成し、350リクエストを観測した場合、それはボット攻撃である可能性があります。

異常に高いリクエストレートインジケーターを使用すると、ユーザーはアプリケーションが受信した異常なリクエストレートを分析できます。

「Event Details」の下で、ユーザーは以下を表示できます。

• 影響を受けるアプリケーション。2つ以上のアプリケーションが違反の影響を受けている場合、ユーザーはリストからアプリケーションを選択することもできます。

• すべての違反を示すグラフ

• 違反が発生した時刻

• 違反の検出メッセージ。受信した合計リクエスト数と、予想されるリクエスト数よりも過剰に受信したリクエストの割合 (%) を示します。

• アプリケーションからの予想されるリクエストレートの許容範囲

ボット検出

NetScalerボット管理システムは、さまざまな技術を使用して受信ボットトラフィックを検出します。これらの技術は、ボットの種類を検出するための検出ルールとして使用されます。

GUI を用いたボット管理機能の設定方法

ユーザーは、アプライアンスで機能を有効にすることで、NetScaler ボット管理を構成できます。詳細については、「ボット検出」を参照してください。

IPレピュテーション

IPレピュテーションは、不要なリクエストを送信するIPアドレスを識別するツールです。IPレピュテーションリストを使用すると、評判の悪いIPアドレスからのリクエストを拒否できます。

GUI を使用したIPレピュテーションの構成

この構成は、ボットIPレピュテーション機能の前提条件です。詳細については、「IPレピュテーション」を参照してください。

ボット署名の自動更新

ボット静的署名技術は、良好なボットと悪質なボットのリストを含む署名ルックアップテーブルを使用します。詳細については、「署名の自動更新」を参照してください。

NetScaler WebアプリケーションファイアウォールとOWASPのトップ10 – 2021年版

Open Web Application Security Project (OWAP) は、Web アプリケーションセキュリティに関する OWASP Top 10 for 2021 をリリースしました。このリストは、最も一般的な Web アプリケーションの脆弱性を文書化しており、Web セキュリティを評価するための優れた出発点となります。このセクションでは、これらの欠陥を軽減するために NetScaler Web App Firewall を構成する方法について説明します。WAF は、NetScaler (Premium Edition) の統合モジュールとして、またあらゆるアプライアンスで利用できます。

OWASP Top 10 の完全なドキュメントは、「OWASP Top Ten」で入手できます。

A1:2021 アクセス制御の不備

認証されたユーザーに許可されていることに対する制限が適切に適用されていないことがよくあります。攻撃者はこれらの欠陥を悪用して、他のユーザーのアカウントへのアクセス、機密ファイルの表示、他のユーザーのデータの変更、アクセス権の変更など、不正な機能やデータにアクセスできます。

ネットスケーラー ウェブ アプリケーション ファイアウォール 保護

• すべてのアプリケーショントラフィックに対する認証、認可、監査をサポートするAAA機能により、サイト管理者はADCアプライアンスでアクセス制御を管理できます。

• ADCアプライアンスのAAAモジュール内の認可セキュリティ機能により、アプライアンスは、保護されたサーバー上のどのコンテンツに各ユーザーがアクセスすることを許可すべきかを検証できます。

• フォームフィールドの一貫性: オブジェクト参照がフォームの非表示フィールドとして保存されている場合、フォームフィールドの一貫性を使用することで、後続のリクエストでこれらのフィールドが改ざんされていないことを検証できます。

• クッキープロキシとクッキーの一貫性: クッキー値に保存されているオブジェクト参照は、これらの保護によって検証できます。

• URLクローズによる開始URLチェック: 事前定義されたURLの許可リストへのユーザーアクセスを許可します。URLクローズは、ユーザーセッション中に有効な応答で検出されたすべてのURLのリストを作成し、そのセッション中にそれらへのアクセスを自動的に許可します。

A2:2021 - 暗号化の失敗

多くのWebアプリケーションやAPIは、金融、医療、PIIなどの機密データを適切に保護していません。攻撃者は、このような保護が不十分なデータを盗んだり改ざんしたりして、クレジットカード詐欺、個人情報盗難、その他の犯罪を行う可能性があります。機密データは、保存時または転送時の暗号化などの追加保護なしに侵害される可能性があり、ブラウザと交換する際には特別な予防措置が必要です。

NetScaler Web App Firewall が提供するウェブアプリケーションの保護機能

• Web Application Firewallは、クレジットカード情報などの機密データが漏洩するのを防ぎます。

• 機密データは、Safe Commerce保護で安全なオブジェクトとして構成することで、漏洩を防ぐことができます。

• クッキー内の機密データは、クッキープロキシとクッキー暗号化によって保護できます。

A3:2021 - インジェクション

SQL、NoSQL、OS、LDAPインジェクションなどのインジェクションの欠陥は、信頼できないデータがコマンドまたはクエリの一部としてインタープリターに送信されたときに発生します。攻撃者の悪意のあるデータは、インタープリターをだまして意図しないコマンドを実行させたり、適切な認可なしにデータにアクセスさせたりする可能性があります。

XSS の欠陥は、アプリケーションが信頼できないデータを適切な検証やエスケープなしに新しいウェブページに含めたり、HTML や JavaScript を作成できるブラウザ API を使用してユーザー提供データで既存のウェブページを更新したりするたびに発生します。XSS は、攻撃者が被害者のブラウザでスクリプトを実行することを可能にし、ユーザーセッションの乗っ取り、ウェブサイトの改ざん、または悪意のあるサイトへのユーザーのリダイレクトを引き起こす可能性があります。

NetScaler Web App Firewall が提供するウェブアプリケーションの保護機能

• SQL インジェクション防止機能は、一般的なインジェクション攻撃から保護します。カスタムインジェクションパターンをアップロードして、XPath や LDAP を含むあらゆる種類のインジェクション攻撃から保護できます。これは HTML と XML の両方のペイロードに適用されます。

• 自動更新署名機能により、インジェクション署名が常に最新の状態に保たれます。

• フィールド形式保護機能により、管理者は任意のユーザーパラメータを正規表現に制限できます。たとえば、郵便番号フィールドに整数のみ、または5桁の整数のみを強制できます。

• フォームフィールドの一貫性は、送信された各ユーザーフォームをユーザーセッションフォーム署名と照合して検証し、すべてのフォーム要素の有効性を確認します。

• バッファオーバーフローチェックは、URL、ヘッダー、および Cookie が適切な制限内にあることを確認し、大規模なスクリプトやコードの挿入試行をブロックします。

• XSS 保護は、一般的な XSS 攻撃から保護します。カスタム XSS パターンをアップロードして、許可されるタグと属性のデフォルトリストを変更できます。ADC WAF は、許可される HTML 属性とタグのホワイトリストを使用して XSS 攻撃を検出します。これは HTML と XML の両方のペイロードに適用されます。

• ADC WAF は、OWASP XSS Filter Evaluation チートシートに記載されているすべての攻撃をブロックします。

• フィールド形式チェックは、攻撃者が不適切なウェブフォームデータを送信するのを防ぎ、これは潜在的な XSS 攻撃となる可能性があります。

• フォームフィールドの一貫性。

A5:2021 - セキュリティの誤設定

セキュリティの誤設定は、最も一般的に見られる問題です。これは通常、安全でないデフォルト設定、不完全または即席の設定、オープンなクラウドストレージ、誤設定された HTTP ヘッダー、および機密情報を含む詳細なエラーメッセージの結果として発生します。すべてのオペレーティングシステム、フレームワーク、ライブラリ、およびアプリケーションは、安全に設定されているだけでなく、タイムリーにパッチが適用され、アップグレードされている必要があります。

多くの古い、または不適切に設定された XML プロセッサは、XML ドキュメント内の外部エンティティ参照を評価します。外部エンティティは、ファイル URI ハンドラ、内部ファイル共有、内部ポートスキャン、リモートコード実行、およびサービス拒否攻撃を使用して内部ファイルを公開するために使用される可能性があります。

ネットスケーラー ウェブ アプリケーション ファイアウォール の保護機能

• アプリケーションファイアウォールによって生成されたPCI-DSSレポートは、ファイアウォールデバイスのセキュリティ設定を文書化します。

• スキャンツールからのレポートは、セキュリティの誤設定に対処するためにADC WAFシグネチャに変換されます。

• NetScaler Web App Firewall Webアプリケーションファイアウォールは、Cenzic、IBM AppScan (エンタープライズ版およびスタンダード版)、Qualys、TrendMicro、WhiteHat、およびカスタム脆弱性スキャンレポートをサポートしています。

• XMLベースのアプリケーションへの攻撃に適用できる一般的なアプリケーション脅威（クロスサイトスクリプティング、コマンドインジェクションなど）の検出とブロックに加えて。

• NetScaler Web App Firewall Web Application Firewallには、XML固有の豊富なセキュリティ保護機能が含まれています。これには、SOAPメッセージとXMLペイロードを徹底的に検証するためのスキーマ検証、および悪意のある実行可能ファイルやウイルスを含む添付ファイルをブロックするための強力なXML添付ファイルチェックが含まれます。

• 自動トラフィック検査方法は、アクセス取得を目的としたURLおよびフォームに対するXPathインジェクション攻撃をブロックします。

• NetScaler Web App Firewall Web Application Firewallは、外部エンティティ参照、再帰的展開、過剰なネスト、および長い属性や多数の属性と要素を含む悪意のあるメッセージなど、さまざまなDoS攻撃も阻止します。

A6:2021 - 脆弱で古いコンポーネント

ライブラリ、フレームワーク、その他のソフトウェアモジュールなどのコンポーネントは、アプリケーションと同じ権限で実行されます。脆弱なコンポーネントが悪用された場合、そのような攻撃は深刻なデータ損失やサーバー乗っ取りを引き起こす可能性があります。既知の脆弱性を持つコンポーネントを使用するアプリケーションやAPIは、アプリケーションの防御を弱め、さまざまな攻撃や影響を可能にする可能性があります。

NetScaler Webアプリケーションファイアウォールの保護機能

• サードパーティコンポーネントを最新の状態に保つことをお勧めします。

• ADCシグネチャに変換された脆弱性スキャンレポートは、これらのコンポーネントを仮想的にパッチ適用するために使用できます。

• これらの脆弱なコンポーネントで利用可能なアプリケーションファイアウォールテンプレートを使用できます。

• これらのコンポーネントを保護するために、カスタムシグネチャをファイアウォールにバインドできます。

A7:2021 – 認証の不備

認証およびセッション管理に関連するアプリケーション機能は、しばしば不適切に実装されており、攻撃者がパスワード、キー、またはセッショントークンを侵害したり、他の実装上の欠陥を悪用して一時的または永続的に他のユーザーのIDを乗っ取ったりすることを可能にします。

ネットスケーラー ウェブ アプリ ファイアウォール 保護機能

• NetScaler AAAモジュールは、ユーザー認証を実行し、バックエンドアプリケーションにシングルサインオン機能を提供します。これはNetScaler AppExpertポリシーエンジンに統合されており、ユーザーおよびグループ情報に基づいたカスタムポリシーを可能にします。

• SSLオフロードおよびURL変換機能を使用することで、ファイアウォールは、ネットワークスニッフィングによるセッショントークンの盗難を防ぐために、サイトが安全なトランスポート層プロトコルを使用するのを支援することもできます。

• クッキープロキシとクッキー暗号化を利用することで、クッキーの盗難を完全に軽減できます。

A8:2021 - ソフトウェアとデータの整合性の不備

安全でないデシリアライゼーションは、しばしばリモートコード実行につながります。デシリアライゼーションの欠陥がリモートコード実行に至らない場合でも、リプレイ攻撃、インジェクション攻撃、特権昇格攻撃などの攻撃を実行するために使用される可能性があります。

ネットスケーラー ウェブアプリケーションファイアウォールの保護機能

• カスタム署名によるJSONペイロード検査。

• XMLセキュリティ: XMLサービス拒否 (xDoS)、XML SQLおよびXPathインジェクション、クロスサイトスクリプティング、フォーマットチェック、WS-I基本プロファイル準拠、XML添付ファイルのチェックから保護します。

• フィールドフォーマットチェック、クッキーの一貫性、フィールドの一貫性を使用できます。

A9:2021 - セキュリティログと監視の不備

不十分なロギングと監視は、インシデント対応との統合の欠如または非効率性と相まって、攻撃者がシステムをさらに攻撃し、永続性を維持し、より多くのシステムに侵入し、データを改ざん、抽出、または破壊することを可能にします。ほとんどの侵害調査では、侵害の検出にかかる時間は200日を超え、通常は内部プロセスや監視ではなく外部の関係者によって検出されることが示されています。

ネットスケーラー ウェブアプリファイアウォール 保護

• セキュリティチェックまたは署名に対してログアクションが有効になっている場合、生成されるログメッセージは、アプリケーションファイアウォールがウェブサイトとアプリケーションを保護している間に観測したリクエストとレスポンスに関する情報を提供します。

• アプリケーションファイアウォールは、悪意のあるリクエストが発信されているIPアドレスに対応する場所を特定するために、組み込みのADCデータベースを使用できるため便利です。

• デフォルト形式 (PI) 式は、ログに含まれる情報をカスタマイズする柔軟性を提供し、アプリケーションファイアウォールが生成するログメッセージにキャプチャする特定のデータを追加するオプションも利用できます。

• アプリケーションファイアウォールはCEFログをサポートしています。

参考文献

• HTML SQLインジェクションチェック

• XML SQLインジェクションチェック

• コマンドラインを使用してHTMLクロスサイトスクリプティングチェックを設定する

• XMLクロスサイトスクリプティングチェック

• コマンドラインを使用してバッファオーバーフローセキュリティチェックを設定する

• 署名オブジェクトを追加または削除する

• 署名オブジェクトを構成または変更する

• 署名オブジェクトを更新する

• Snortルール統合

• ボット検出

• マイクロソフトアジュールにネットスケーラー VPX インスタンスを展開する