WAF運用時のポイントについて

こんにちは、TTです。

今回はネットアシストでも導入の多い、WAF（Web Application Firewall）について
概要の解説と、運用時に多いトラブルと対処法についての記事になります。

WAF（Web Application Firewall）とは

従来のファイアウォール（Firewall）では、サーバへの
通信を制御することで、許可されたIPアドレスのみサーバ内へログイン可能、といった
制御が可能でした。

しかしながら、Webアプリケーションは外部へ公開する必要があり
Webアプリケーションの脆弱性や、データベースへのインジェクションアタックなどに
個別に対応することはできませんでした。

※例として、WordPressの脆弱性を突いたアクセスや
MySQLデータベースへのSQLインジェクションなどがあります。

WAFでは、予めアタックと判定するルールが設定されており
条件に合致したアクセスをアタックと判定し、遮断することが可能になっています。

ネットアシストでは、WAFの導入、サポートをしております。
より詳細については、弊社コーポレートサイトで解説もございますので、併せてご参照ください。

運用時に多いトラブルについて

運用時に多いトラブルとして、今回は攻撃遮断くんを例に解説させていただきます。

攻撃遮断くんの導入後にコンテンツの更新などを行うと、ページが表示できなくなる、といったお問い合わせをいただくことがございます。

遮断されると、上記のような画面になりアクセスができなくなります。

また、脆弱性診断などを実施される場合も
診断会社様のIPアドレスをホワイトリストに設定していない場合、診断動作が
アタックと判定され、期待した診断が行えない場合があるようです。

WAFはアクセス内容によって判定を行うため
WAFのホワイトリストに適切にIPアドレスを設定していない場合
コンテンツの更新動作や診断がアタックと判断されることがあり、このような事象が発生します。

WAFのホワイトリストへ
作業を行う方のIPアドレスを設定することで
正常なコンテンツ更新や診断は許可し、ホワイトリストにないIPからの不審な動作は遮断する、といった運用が可能です。

多彩な運用方法

お客様によっては接続元IPアドレスが固定ではない場合や
コンテンツ毎に制作会社様が分かれており、ホワイトリストの作成が難しい場合もあるかと思われます。

攻撃遮断くんには遮断モードと検知モードがあり
遮断モードではアクセス内容に基づいて遮断を実施しますが
検知モードでは遮断は実施しません。

検知モードでも、どのようなアタックがきていたかの確認などは可能な為
一定期間様子を見て、明確なアタックと判断した場合は弊社で遮断を行う、といった運用も可能です。

日々運用を行う中で、Webアプリケーションへのアタックを見かけない日はないと言ってもいいため
サイトの安全な運用の為にも、ぜひWAF導入をご検討いただければと思います。
導入後のサポートはネットアシストにお任せください。

それでは、また次回のブログでお会いしましょう。