ウェブアプリ専門の防御システム:WAF
はい、こんにちは~。ファイアウォール・シリーズでは、ファイアウォールの基本的な仕組みから、IDS/IPSなど次世代ファイアウォールと呼ばれる機器まで紹介してきましたが、いよいよ今回が最後です!2023年が終わる直前のタイミングで完結できてよかった。
前回は、侵入防止システム「IPS」について、ご紹介しました。侵入検知システム「IDS」から発展したもので、攻撃に対してアラートを発するだけでなく通信を遮断してネットワークやサーバを守る機器でした。
ホスト型とネットワーク型があること、フォールポジティブとフォールスネガティブの課題があることは、IDSと共通していました。
さて、今回取り上げるのは、ウェブサーバの守護神こと「WAF」(Web Application Firewall。ワフ)でございます。「ファイアウォールも、IDS/IPSもあるのに、WAFはいるのか?」と疑問に思いますよね?もっともな疑問です。そんな疑問も以下で解消しますよ!
ぜひ続きをどうぞ!
脆弱性を悪用した攻撃からウェブサーバを保護
いろいろあるセキュリティ機器の中でも、WAFはどんな役割を果たすのでしょうか?
WAFは、HTTPとHTTPSによる通信内容を分析し、ウェブサーバに対する不正なアクセスや攻撃を検出して、阻止するのが役目です。アプリケーションレベル(L7)に特化した、ウェブサーバ専門のセキュリティ機器です。
ウェブアプリケーションは、どうしても脆弱性を抱えてしまいます。これらの脆弱性を悪用する攻撃はたくさんあります。代表的な攻撃は次のとおりです。
SQLインジェクション
XSS(クロスサイトスクリプティング)
CSRF(クロスサイトリクエストフォージェリ)
これらの攻撃からサーバを守るには、パケットのヘッダを監視するだけでなく、「通信の内容そのもの」を分析する必要があります。
ファイアウォールやIPSとの協調
WAFの役割は、分かりました。でも、ファイアウォールやIPSもあるけど、どうやって役割分担しているの?という疑問が浮かんできます。ごもっともです。
では、役割分担を絵にしてしまいましょう!こちらです。
ファイアウォールは、ヘッダにあるIPアドレスやポート番号を参照して、認められている通信のみを許可すのが仕事です。第1の壁として、形式面を中心に不正なアクセスを検知します。
続いて、第2の壁「IPS」は、蓄積されているシグニチャに合致したり、異常な振舞い(アノマリ)を検知したら、通信を遮断します(もちろんIDSもありますが、通信を遮断するファイアウォール的な機能を持つ点で、図中ではIPSで代表させています)。
最後に、最上位の第7層に特化した「WAF」が、パケットのペイロードも観測して、不正な入力データなどを検知します。なお、IPSもペイロードを検査しますが、WAFの方がウェブアプリ専門のチェックを行うことができます。
下位層から上位層に向かって順番に不正なアクセスを遮断する様子が見てとられますね!
2つのセキュリティモデル
WAFは、どのようなポリシーによって設定するのでしょうか?実は、二つの主要なセキュリティモデルがあります。
1)ポジティブモデル
あらかじめ設定されたホワイトリストに基づいて通信を許可し、それ以外は遮断します。
2)ネガティブモデル
ネガティブモデルは、ブラックリストに登録された悪意のある通信のみを遮断し、他は許可します。
ポジティブモデルの方が厳しい運用であり、原則的にはこれが適用されます。なお、IDS/IPSについては、ブラックリスト・ベースで運用されます。
これらのモデルに従いつつも、管理者は細かい設定が必要です。設置したら終わり…ではないです。
はい、本日はここまで!今回は、ウェブサーバ専門の守護神「WAF」についてご紹介しました。挿絵を擬人化してみましたが親しみがわきますねw。
これでファイアウォール・シリーズは終了です。お楽しみいただけましたかか~。
次回から、そう、2024年からは別のシリーズに入りますよ!
では。
この記事が気に入ったらサポートをしてみませんか?