A WAF, or web application firewall, is a virtual security appliance, cloud service designed to protect organizations at the application level by filtering, monitoring and analyzing hypertext transfer protocol (HTTP) and hypertext transfer protocol secure (HTTPS) traffic between the web applications and the internet.
このラドウェアミニッツ動画では、ラドウェアのユーリ・ドロットがWebアプリケーションファイアウォール(WAF)について解説するほか、WAFを導入することの重要性、WAFの機能、WAFを選ぶ際のポイントについてもご説明します。
WAFは、クロスサイトフォージェリやサーバサイド リクエスト フォージェリ、ファイルインクルージョン、SQLインジェクション、その他多くの攻撃からWebアプリケーションを防御します。さらに、WAFは、アプリケーションやウェブサイトを脆弱性、悪用、ゼロデイ攻撃から守ります。アプリケーションへの攻撃はデータ漏洩の主な要因であり、貴重なデータへの突破口となっています。適切なWAFを実装することにより、システムのセキュリティを侵害してデータを密かに抽出することを目的とした一連の攻撃を、完全にブロックすることができます。
When a WAF is deployed in front of a web application, a protective shield is placed between the web application and the internet that monitors all the traffic between the application and the end user(s). A WAF protects the web apps by filtering, monitoring, and blocking any malicious HTTP/S traffic traveling to the web application, and also prevents any unauthorized data from leaving the application by adhering to a set of policies that help determine what traffic is malicious and what traffic is safe. Just as a proxy server acts as an intermediary to protect the identity of a client, in a traditional deployment, a WAF operates in similar fashion but in the reverse—called a reverse proxy—acting as an intermediary that protects the web app server from a potentially malicious client.
There are three approaches to security that WAFs typically take:
Whitelisting– An “allow list” that uses machine learning and behavior modeling algorithms to define what traffic the WAF lets through. It then blocks the rest.
Blacklisting– A “block list” based on up-to-date signatures against known vulnerabilities that defines what traffic the WAF denies. The rest is accepted.
Hybrid Approach– The WAF relies on a combination of both positive and negative security models—a combination of allow and block lists that determines what gets through.
The main difference between a firewall and a web application firewall is that a firewall is usually associated with protection of only the network and transport layers (layers 3 and 4). However, a web application firewall provides protection to layer 7.
WAFは、さまざまな方法で実装可能であり、どの種類にも特有のメリットとデメリットがあります。WAFには次の3つのタイプがあります。
- ネットワーク型WAFは、一般的にハードウェアベースです。このタイプのWAFは、ローカルにインストールされるため、遅延は最小限に抑えられますが、ストレージと物理的な機器を必要とします。
- ソフトウェア型WAFは、サービスとしてのセキュリティとしてWAFを提供するサービスプロバイダーにより管理されます。
クラウド型WAFは、低コストで実装の簡単なオプションです。トラフィックをリダイレクトするためのDNSの変更と同じくらいシンプルなため、すぐに使えるソリューションとして採用されることが多いうえに、サービスとしてのセキュリティを考慮した料金体系で毎月または毎年の支払いが可能なため、先行投資もわずかで済みます。クラウド型WAFは、最新の脅威に対応するために常時更新されるソリューションであり、ユーザー側で追加の作業や費用は必要ありません。この実装オプションの欠点は、ユーザーが責任を第三者の手に委ねることです。
WAFには、ソリューションが「仲介者」の役目を果たすインライン、もしくは APIベースのアウトオブパス(OOP)サービスとして展開できるオプションが付いているのが理想です。APIベースのOOP展開には、マルチクラウド環境向けの最適化が可能な独自のメリットがいくつかあります。これにより、アプリケーションリクエストがクライアントからアプリケーションサーバへ、中断なしに直接移動することが可能になります。メリットとしては、低遅延のほか、トラフィックのリダイレクトがない、アップタイムがより長い、異種環境での包括的な防御などが挙げられます。
理想を言えば、WAFはポジティブセキュリティモデルとネガティブセキュリティモデルの両方を組み合わせ、包括的な防御を提供する必要があります。これには、アクセス違反やCDN背後を装った攻撃、APIの不正操作や攻撃、前述のHTTP/Sフラッド、ブルートフォース攻撃といった既知のWebアプリケーション攻撃などが含まれます。さらに、この組み合わせは、ゼロデイ攻撃のような未知の攻撃および脆弱性に対する防御機能も果たします。
Webアプリケーションファイアウォールはまた、振る舞いベースの機械学習アルゴリズムを活用して、リアルタイムでセキュリティポリシーを作成および最適化し、フォルスポジティブを最小限に抑えつつ、包括的な防御を達成することができます。この機能により、アプリケーションがネットワークに追加されるたびに、自動検出とそれらの防御も実行します。
WAFの他の主な機能は以下のとおりです:
- 中心的な機能:ジオブロッキング、IPグループ、ブロックリスト、許可リスト、ホワイトリスト、ブラックリストに基づいたネットワークトラフィックのフィルタリング
- APIの検出と防御により、オンプレミスやクラウドでホストされている環境にかかわらず、あらゆる手段によるAPIの乱用や操作に対する可視化、徹底化、防御を実現
- 前述のアプリケーションレイヤのDDoS攻撃を阻止する組み込み型DDoS防御
- 人間を真似た巧妙なボットを検出して統合するボット管理ソリューションを組み込む機能
- データ流出防止機構が、個人を特定できる情報(PII)のように機密性の高いユーザーデータを自動的にマスク
多くの組織では、アジャイル開発手法、クラウドへの移行、WebベースのソフトウェアやSaaSアプリケーションの使用の増加、在宅勤務者の急増により、アプリケーションレベルで高まるセキュリティリスクに直面しています。WAFを導入することで、Webアプリケーションやアプリケーションプログラミングインターフェイス(API)を標的にした攻撃に対処できるようになります。
WAFはすべての脅威から組織を防御することはできないものの、「アプリケーション脆弱性OWASPトップ10」などアプリケーションレベルを標的にしたものには対応可能です。これらには以下が含まれます。
- クロスサイトスクリプティング(XSS): コードインジェクション攻撃のひとつで、攻撃者は正当なWebサイトに悪性コードを挿入します。このコードが感染したスクリプトとしてユーザーのWebブラウザ内で起動し、攻撃者が機密情報を盗み出したり、ユーザーになりすましたりできるようにします。
- アプリケーションレイヤDDoS攻撃:アプリケーションレイヤを狙ったDoSやDDoSへのボルメトリック攻撃。一般的な例として、HTTP/Sフラッド、SSL攻撃、ローアンドスロー攻撃、ブルートフォース攻撃が挙げられます。
- SQLインジェクション:攻撃者が既知の脆弱性を利用して悪質なSQL文をアプリケーションに挿入する点で、XSSに似ています。ハッカーはこの手口により、情報の抽出や改ざん、削除が可能になります。
- ゼロデイ攻撃:ハッカーが、ソフトウェア開発者がパッチをリリースする前に未知のセキュリティの脆弱性やソフトウェアの欠陥を悪用した場合に発生します。
According to Quadrant Knowledge Solutions’ research, the following are key market drivers for WAF:
- WAF providers wanting to improve their offerings are integrating their products with security information and event management (SIEM) systems, application security testing (AST) and web access management (WAM).
- Vendors are providing WAF solutions that are based on a positive security model and use a machine learning algorithm to analyze HTTP requests.
- Thanks to the increase in IoT devices, it’s likely organizations will invest in WAF solutions to comply with data privacy norms, including IoT-specific features such as device fingerprinting and protocol validation.
- Enterprises are seeking enhanced threat intelligence, extended WAF protection and a variety of out-of-the box integrations.
- There’s a focus on new detection methods to prevent web attacks and minimize false positives.
Radware's Products & Serveces