ファイアウォールは、技術的には丘と同じくらい古いものだ。ファイアウォールが誕生して40数年、音楽ジャンルよりも多くの「次世代」ファイアウォールが存在してきた。その核心は、ネットワークに出入りするパケットを許可または拒否することであり、それ以外はほとんど役に立たない。各世代は、何が「ドアを通過」するかを決定するポリシー・ミックスに何か新しいものを加えているが、より良い情報に基づいた用心棒は、依然として用心棒に過ぎない。ユーザー識別、侵入検知、時間帯、履物、帯域幅の使用状況、髪型、TCPセッションの状態は、何かが安全かどうか、信頼できるかどうかを決定するものではありません。
Webアプリケーション・ファイアウォール(WAF)は、私たちのパンターと彼らが何をしようとしているのかについて、より多くのことを知っている(少なくとも知ることができる)私たちの「フィクサー」の登場です。WAFは、誰が侵入を許可されるかはさておき、いったん境界の内側に入ったら、どのような振る舞いが許容され、どのような振る舞いが許容されないかを指定する。WAFでは、アクセスではなく、アプリケーションの機能と入出力が許可されるか拒否されるかを決定する。
これは、許可か拒否かの二者択一よりも、明らかに洗練された深いアプローチである。より意味のある、あえて言えば自然な方法で、きめ細かな制御とセキュリティ・ポリシーの実行が可能になる。Webサイトが読み取りまたはダウンロードされる情報のみを提供する場合、WAFを使えば、その情報を提供するサーバーにファイルがアップロードされないようにすることができる。サーバーはSQLバックエンドを使用しているかもしれないが、だからといってクライアントがリクエストにSQLクエリを含める必要はない。一言で言えば、WAFは悪意のあるユーザーから守ってくれる。「ネットワーク」ファイアウォールは、悪意のあるユーザーと良識のあるユーザーとの違いを知る方法がないため、悪意のあるユーザーはすでに通してしまっているのだ。
WAFモジュールは、ALB-Xアドバンスド・ロードバランサーのリリースで利用可能で、Dockerコンテナとしてリリースした初めてのものです。これは新しく、エキサイティングな方向性であり、私たちの理念である、可能な限りシンプルなものです。Dockerやコンテナの複雑な使い方を理解する必要はありません。コンテナであるため、WAFはALB-Xソフトウェアとは独立してインストールやアップグレードが可能です。また、複数のWAFコンテナを実行することで、異なるサービスに異なるポリシーを適用し、分離を向上させることができる。要するに、このアプローチには多くの柔軟性があるということだ。
暗号化されていないトラフィックを保護するか、暗号化された(HTTPS)トラ フィックを保護するかによって、複数の実装オプションがある。HTTPSでは、トラフィックを実サーバーに送信する前に再度暗号化することができます。
WAFモジュールは、粗悪にコーディングされたウェブベースのアプリケーションとその脆弱性に対する防御を提供するが、実際には、穴のあいた粗悪に書かれたコードに対するワンストップ・ソリューションと考えるべきではない。症状ではなく原因を治療することです。連携した綿密なアプローチが最善の防御であることを忘れないでください。適切に策定されたクッキー、flightPATHのトラフィック管理ルール、適切なHTTPヘッダーと制限、その他のツールを組み合わせることは、一見不可解な単一の壁よりもはるかに優れています。できる限りのセキュリティを確保すれば、真のセキュリティは後からついてくるかもしれません。
パケットとトラフィック(IPアドレスとポート)、プロトコル、アプリケーション、サービス、トランザクションを考慮してください。1つの要素に対する保護に頼りすぎると、おそらく問題が発生する。同じように慎重を期す意味で、以下のことに留意してください;
- WAFはアプリケーションを意識しているがゆえに、できることは限られている。WAFは、アプリケーションがどのように動作しているか、あるいはアプリケーションがどのようにあるべきかという理想を意識しているわけではない。
- WAFは一般的な「ルールベース」を使用します。このルールベースは、アプリケーションにとって適切でない可能性のある多くの仮定に基づいています(例えば、ファイルのアップロードは許可されません)。
- AJAX、HTML5などの最近の技術革新は、説明されていないか、保護されていない可能性がある。
ALB-Xのほとんどの機能がそうであるように、ALB-Xに実装することの大きな利点は、すべてのサーバーを保護するために、中央の一箇所でこれを行うだけでよいということです。開発者やウェブサーバーの再設定に頼る必要がないのです。WAFのルールセット(許容できない動作のリスト)の更新も数回クリックするだけで、いくつ実行していても1回で済みます。
WAFの詳細については、こちらをご覧ください。詳細なインストールガイドはこちら。
今すぐオンラインで試乗
ウェブ・アプリケーション・ファイアウォールは、アプリケーションの機能や入出力の許可・拒否の管理など、セキュリティ・ポリシーのきめ細かな制御と実施を可能にする。
