WAFのポテンシャルについて

WAFというセキュリティソリューションはアプリケーションレイヤー型攻撃からウェブアプリケーションを保護します。ウェブアプリケーションとプラットフォームの脆弱性を狙う悪意のあるリクエストを検知、フィルタリングする機能です。

Airlockはウェブアプリケーションの前にネットワークソリューション又はサービスとして設定されています。とはいえ、包括的なセキュリティ設定の中ではWAFは一つのソリューションでしかありません。以下の図のように、インターネットアプリケーション用に他のセキュリティ対策を考慮する必要があります:

Security measures for web applications

  • WAF: アプリケーションレイヤー攻撃対策
  • フェイルオーバー/強化: インターネット環境に対し、特に強固でセキュアなアプリケーションとプラットフォームが求められています。
  • アップデート・セキュリティパッチ:全てのシステムとアプリケーション。
  • Dos/DDos対策:検知された場合、どう反応するかを準備する必要があります。
  • ファイアウォール: ファイアウォールには必要最小限のポートだけを利用すべきです。
  • IDS/IPS: 内部ネットワーク部分を中心として検知していきます。外部ネットワーク部分にはアラートが多過ぎるのであまり意味はありません。
  • DMZ: ウェブアプリケーション用の「非武装地帯」のようなネットワーク

ウェブアプリケーションへの現在と未来の脅威に対し、WAFは有効的なセキュリティ対策になります。特に数多くのアプリケーションを持つ大企業にとり有効な手段となります。WAFのヴァーチャルパッチ機能はアプリケーション担当者のセキュリティ対策に柔軟性をもたらします。メディアで騒われているような脆弱性が急に表れると、企業体のIT部門はパニックになりがちです。でももうそうなる必要はありません。アプリケーションの脆弱性を速やかに修復するよりも、まずは余裕を持ち、通常の修復サイクルにてアプリケーションを訂正、そしてテストすることが可能になります。

戦略的な立場でもあります!

ヴァーチャルパッチとはいえ、WAFにはもう一つの大切な特徴があります:WAFはWAFだけの機能ではなく、更に便利な新機能を提供できる立場にあり、アプリケーションに様々な追加サービスの提供が可能となります。

思い浮かぶのはポータルサービス、ユーザー認証サービス、アクセス許可、セッション管理、アイデンティティ管理、高可用性、フェイルオーバー機能、ロードバランシング等。ビジネスアプリケーションの運用には非常にありがたいサービスです。このようなサービスを自分自身で開発と実装するのは難しいので、複雑なガイドラインとポリシーを描き、細かい必須条件を定義しても、全てのアプリケーション開発者がこれを活かすことはできないでしょう。結果として各アプリケーションのセキュリティレベルは異なることになってしまいます。そういう悩みを解決するリバースプロキシとしてのWAFは、下流のアプリケーションにプラスアルファのサービスを提供することができます。

インバウンド:Webアプリケーションの集中アクセスサーバ

「リバースプロキシ」のアプローチは上記のウェブアプリケーションの開発者又は運用者をサポートします。このようなセキュリティ機能を自分で開発するのではなく、フレームワークのように利用すれば、簡単です。全てのアプリケーションを同時に同じセキュリティレベルに上げつつ、開発時間を短縮できます。

利点:

  • 全てのアプリケーションは同程度セキュリティレベルで保護されている
  • 全てのユーザーは同程度セキュリティレベルで保護されている
  • セキュリティ設定が中心となり、変更も一括で行います
  • 全ての開発社が同じセキュリティフレームワークを利用する
  • 全ての運用者が同じセキュリティフレームワークを利用する

数多くの企業は重要なアプリケーションを保護する為にリバースプロキシサーバー、専用DMZとアイデンティティ管理を利用しています。このようなウェブアプリケーションのためのリバースプロキシソリューションはセキュリティだけではなく、インテグレーションと再利用で効率アップを目指しています。Web Entry Server, WAF based security infrastructureリバースプロキシのアプローチは、柔軟性があり、ポータルとリモートアクセスの付加価値のあるサービスを提供することが可能です。アイデンティティ管理はこのようなアプローチを促す為の中心的な役割を果たしています。

アウトバウンド:フォーワードプロキシのシナリオ

上記のシナリオはインバウンドのみですが、アウトバウンドソリューションのようなWAFもフォワードプロキシシナリオとして使用できます。

  • 外部のWebサービスベースのSOAを利用しながら、SOAP/XMLをサポートしたWAFは内部のアプリケーションをその外部のウエブサービスのリスクから保護します。
  • 外部のペイロード検査ができるWAFは、httpプロトコルレイヤー上のファイル転送のマルウエアリスクから保護します。

SOAP/XMLフィルタリング機能を備えたアウトバウンドWAFは、外部SOA Webサービス(ビジネスパートナ)を安全に使用できるためのセキュリティインフラストラクチャです。このような承認プロキシ機能はスイスの金融業界でも実装されています。

ビジネス戦略でも貢献:エンタープライズセキュリティアーキテクチャの一部としてのWAFの役割

 セキュアリバースプロキシとしてのWAFは戦略的な存在でもあります。シナリオとしては、下流にあるすべてのWebアプリケーションへのアクセスを制御し、中心的なセキュリティゲートウェイのような役割を果たして事業体の全アプリケーションのセキュリティレベルを保護するというものです。

 エンタプライズレベルでセキュリティゲートウエイとして再利用されると極めて戦略的な姿になります。コストの削減、相互運用性と統合機能の実現、単純なルールと署名のアプローチをはるかに超える高度なセキュリティ機能を活躍させることが可能になります。さらには、エンタープライズ全体の認証サービス、アクセス制御、およびIAM統合機能を包括的に提供するための戦略的な役割を担います。

 こうしたエンタープライズセキュリティアーキテクチャの一部になれば、アプリケーション毎の継続的なハードニングよりはるかに優れたセキュリティへの貢献を期待できます。

 特定のアプリケーションプロジェクトのソリューションアーキテクトは、その機能と可能性を認識し、アプリケーション開発プロジェクトでそのエンタプライズアーキテクチャーの機能の活躍を設計することが期待されています。このように、WAFは、アプリケーションプロジェクトの開発者がコードの作業を始める前に、「Security by Design」の段階でもセキュリティの品質に貢献することができます。

ディパオロ・ロベルト (Author: Roberto Di Paolo)
2017/1/11, last update 2018/07/04 ©ACROSEC Inc.