ウェブアプリケーションへの全てのアクセスを中央的保護と管理することはお勧めです。そのためには数多くのセキュリティ機能又はWAF機能を持つリバースプロキシのアプローチは不可欠です。
2017/1/11 © ACROSEC Inc.
FAQ Category: ウェブ・アプリケーション・セキュリティについてよくある質問
「スイス・スタイル・ウェブアプリケーション・アクセスソ・サーバー」とは何ですか?
WAFフィルタリング機能を持つリバースプロキシ、およびWebアプリケーションへのアクセスを制御するための集中管理された認証/認可サービスです。
このようなアクセスインフラストラクチャは、WAM / WAFの組み合わせ(WAM:Web Access Management)またはアプリケーションアクセスゲートウェイのようなエッジサーバーとも呼ばれています。Web Entry Serverという用語は、主にヨーロッパのドイツ語圏で使用されており、すべてのWebアプリケーションにアクセスする前に必要がある中央の入口としての役割であることを示しています。
AirlockのようなWAF機能を持つ優れているリバースプロキシサーバーを専用のDMZインフラストラクチャーの中に活かすのは、スイス金融機関でよく見られる使用方法です。
特に高い信頼性を求めてインターネットバンキングアプリケーションをサーポートするため、スイスの金融機関は様々な工夫をしています。例えば、認証を必要とするアプリケーションとそうではないアプリケーションを2つの専用セグメントに分けることで、セキュリティレベルが上がります。認証が必要のないアプリケーションは誰でも利用可能、つまりアクセスが可能です。それは高いリスクを齎すため、認証のアプリケーションサーバーを保護する為に別のセグメントに設定されています。ハッカーが侵入しても、貴重な認証アプリケーションまで侵入するのを食い止めるための工夫です。
2017/1/11, last update 2018/06/29 ©ACROSEC Inc.
「プロキシ」とは何ですか?
「プロキシ」という概念は誰かの代わりに何かをするという役割を説明します。IT業界では、クライアントとサーバというコンポーネントの間に仲介的な役割を持つコンポーネントです。プロキシはクライアントとサーバの間に何らかの通信問題を解決ためのコンポーネントです。
しかし、”Http”のレベルでは、通信方法に関して少々違う概念が用いられいます。インバウンドの通信方向をカバーするプロキシは”リバースプロキシ”を示し、アウトバウンドの通信方向をカバーするプロキシは”フォーワードプロキシ”を表示します。他のプロトコルではそのような区別はされていませんので、普通のプロキシという概念が用いられています。
次に、プロキシの大事な区別はその機能に関することです。プロキシはクライアントとサーバの通信を促すためにあるので、ある程度両者の機能を把握しなければなりません。通信プロトコルの機能を満たすためにこれら全ての通信機能を実装することが不可欠です。若しプロキシが通信意外の機能が必要になった場合、クライアントとサーバのアプリケーションレイヤーの機能も受け入れて実装する必要になります。
クライアントとサーバの全ての機能をカバーできるプロキシは少ないです。それは両者の各プロトコルの機能を理解しなければだけでなく、更にアプリケーションのロジックまでカバーする必要があるからです。それを”フルプロキシ”という概念で表しています。こういう意味では、Airlock WAFはプレセンテーションレイヤーまでのフルプロキシですが、ビジネスロジックはカバーされていません。Airlockはアプリケーションレイヤーをサポートするためのインフラストラクチャーとも言えます。
2016/11/4、 last update 2018/07-02 ©ACROSEC Inc.
「アプリケーションレイアーファイアウォール」とは何ですか?
アプリケーションレイヤーファイアウォールという中立的な概念はアプリケーションレイヤー上(レイヤー5と6)のフィルタリング機能を提供するものです。それを実現する為にはアプリケーションのセッションレイヤーとコンテンツの特徴をある程度理解する必要があります。
アプリケーションレイヤーファイアウォールはスタンドアロンのコンポーネントとして実装されるか、アプリケーションサーバのプラグインとして実装されるかが考えられます。このような機能はディープ・パケット・インスペクションとして、ネクストジェネレーションファイアウォール(次世代ファイアウォール)でカバーされています。
アプリケーション処理の機能をどこまで把握できるのかが課題です。複雑性なウェブアプリケーションの場合では、普通のアプリケーションレイヤーファイアウォールを利用すればプロキシのフィルターリング機能は限界となってしまいます。複雑なウェブアプリケーションをカバーするには多数のプロトコルを実装する必要があり、ウェブアプリケーションの動作と各製品からの影響(例えばブラウサーとウェブサーバのバーションの特徴等)も考慮する必要があります。
WAFはアプリケーションレイヤーファイアウォールの特別な種類です。しかし、全てのWAF機能を次世代ファイアウォールでカバーすると、そのファイアウオールは非常に複雑な製品になってしまいます。専用のWAFはそのファイアウォールより正確にアプリケーションセキュリティのニーズをカバーします。やはり、ウェブアプリケーションセキュリティを提供するにはアプリケーションレベルの特徴を正確に把握する必要があります。それに比べて、ファイアウォールはインフラストラクチャーの世界に限られています。
他の非httpプロトコルのプロキシソリューションもレイヤー5と6のフィルタリング機能が提供すればアプリケーションレイヤーファイアウォールとしてみなされています。とはいえ、数多くのプロキシソリューションは通信機能のみを提供しながら、上のレイヤーのためのフィルタリング機能は提供しません。プロキシソリューションの機能を分析すると、フィルタリング機能と通信機能について特に注意する必要がでてきます。
その意味では、Airlockのようなネットワーク用のWAFはフィルタリング機能を提供するhttpルーターのようにみなされます。
2016/11/4、 last update 2018/07/02 ©ACROSEC Inc.
「WAF」とは何ですか?
ウェブアプリケーションファイアウォールの略です。
様々なWAFアーキテクチャが存在しますが、基本的に、ウェブアプリケーションの前に設置し、そのウェブアプリケーションの脆弱性を狙う攻撃パターンをキャッチします。
セキュリティが完璧なウェブアプリケーションにはWAFは必要ありませんが、ウェブアプリケーションの脆弱性を修理する為、アプリケーションの更新は必要になります。企業の複雑化されたウェブサイトの環境更新やアプリケーション更新にはほぼ間に合わないので、WAFはそのバックにある全てのアプリケーションを保護します。そこで、ディベロッパーがアプリケーションを修理するための時間稼ぎをします。
2016/11/4 © ACROSEC Inc.