Web アプリケーションファイアウォール (WAF) (旧バージョン)
Last updated August 16, 2018
重要: Fastly がこれまで提供してきた WAF は、2020年7月13日に発表の新しいインターフェイスと API を含む新バージョンに代わり、レガシー (旧) 製品となりました。旧バージョンをご利用いただいているすべての既存ユーザーは、引き続きサポートをご利用いただけます。Fastly WAF の新バージョンは、すべてのお客様にご利用いただくことができ、また2020年7月13日時点でデフォルトのバージョンとして新規のお客様に提供されます。旧バージョンの Fastly WAF をお使いのお客様は、新しい Fastly WAF にいつでもアップグレードいただけるので、support@fastly.com または Fastly アカウントチームまでご連絡ください。
Fastly の Web アプリケーションファイアウォール(WAF)セキュリティサービスは悪意のあるリクエストを検出し、オリジンの Web サーバーに到達する前にログおよびブロックします。Fastly WAF では潜在的な攻撃を検出するルールを提供します。 ルールはポリシーとしてまとめられ、エッジの Fastly サービスに展開されます。WAF 機能の利用を開始するためには営業チームまでメールでご連絡下さい。
Fastly WAF の仕組み
Fastly WAF は、HTTP または HTTPS 上で実行される Web アプリケーションを既知の脆弱性やクロスサイトスクリプティング(XSS)や SQL インジェクションなどの一般的な攻撃から保護するように設計されています。Fastly WAF では、分散アプリケーションのクライアントエッジに配置された保護レイヤーを提供して、 Web アプリケーションおよび API の脆弱性を悪用した悪質なアクティビティを検出およびブロックします。
Fastly WAF は、従来のネットワークファイアウォールアプライアンスと同様に、所定のセキュリティルールを使用して Web アプリケーションへのトラフィックを監視および制御します。ネットワークファイアウォールは IP レベルで動作し、信頼できないネットワークの IP アドレスからのリクエストをブロックしネットワークへのアクセスを防ぎます。Fastly WAF は、ネットワークまたはトランスポート層レベルのファイアウォールとは異なり、主に HTTP アプリケーション層で Web トラフィックを分析することによって機能します。すべての HTTP(S) ヘッダーと、 POST リクエストの本体を読み取り、指定されたルール・セットに基いて検査を実行します。
Fastly ではデフォルトの WAF ルールセットを提供します。このデフォルトのルールセットに個別のアプリケーションを狙った攻撃から保護するためのルールセットを追加することが可能です。Fastly WAF がご利用中のサービスのバージョンに適用されると、各ルールのステータスをログ、ブロック、または無効に変更することが出来ます。 ルールの変更にはバージョンがなく、設定変更後すぐに有効になります。
注意: Fastly WAF は、トラフィックが Fastly ネットワークを経由する場合にのみ機能します。トラフィックが Fastly および Fastly WAF を経由して配信されるように、 Fastly に登録を行い、対象のドメインに対してサービスの作成、 DNS CNAME レコードの設定を行って下さい。
Fastly WAF を有効にする
Fastly WAF を利用するために Web アプリケーションやオリジンサーバーの設定を変更する必要はありません。Fastly のセールスチームまでご連絡下さい。
デフォルト WAF ポリシーの有効化後のチューニング
WAF サービスをご購入頂くと、Fastly のカスタマーサポートチーム が、ご依頼頂いたサービスにデフォルトの WAF ポリシーを有効化します。カスタマーサポートチームは、その後継続して以下のような追加設定をサポートいたします。
- ログ配信の設定
- ルールセットの設定 とプリフェッチコンディションの設定
- レスポンスのカスタマイズ(必要な場合)
上記の設定が完了後、ログの監視を開始し、正当なリクエストと、オリジンを保護するためにブロックすべきリクエストを決定して下さい。
ログ配信の設定
悪意ある活動をリクエストを通してモニタリングするため WAF 変数を含むログ配信設定を作成します。既存のログ配信設定を利用、または Fastly WAF 用に新たに設定を追加しても構いません。ログ情報は WAF イベントをモニターするために利用します。
ルールセットの設定
Fastly では Trustwave SpiderLabs による ModSecurity Rules と、OWASP Top Ten をベースとした WAF のルールセットをデフォルトとして提供します。デフォルトのルールセットでは Web アプリケーションに対する幅広い一般的な攻撃を検知を出来るように設計されています。
Fastly では WAF を適用するのデフォルトのプリフェッチ条件として (!req.backend.is_shield) を WAF ポリシーに適用します。これにより、サービスにオリジンシールドが適用されているか否かにかかわらずにオリジンへ向かうトラフィックのみを確実に検査します
プリフェッチ条件は変更が可能です。たとえば、ホワイトリストに登録されていない IP アドレスからのリクエストのみを WAF の検査の条件として追加すること等が可能です。
1
curl -v -X PUT https://api.fastly.com/service/<your Fastly service ID>/version/<version_id>/condition/Waf_Prefetch -H "Fastly-Key: FASTLY_API_TOKEN" -H "Content-Type: application/json" -d '{"statement":"!req.backend.is_shield && !(client.ip ~ allowlist)"}' -H "Accept: application/json"
Fastly によって特定のアプリケーションや技術(例えば、WordPress、Drupal、PHP、.Net)用のルールセットを追加することも可能です。ルールセットを追加すると、WAF の処理に必要な時間が増加する可能性があることに注意して下さい。
適用するルールセットを設定すると、Fastly がルールセットをメンテナンスして最新状態に維持します。ただし、オリジン側で使用するアプリケーションやプラットフォームを変更した場合は Fastly に通知する必要があります。
レスポンスのカスタマイズ
Fastly のカスタマーサポートチームは WAF がブロックしたリクエストに返却するカスタムレスポンスを作成し、 HTTP ステータスコードを割り当てます。 Fastly WAF を ブロックモードに設定した場合、ルールセットに合致したリクエスト用に、 Fastly のキャッシュサーバーが作成したカスタムレスポンスが直接配信されます。レスポンスをカスタマイズしたい場合は、Fastly のコントロールパネルから次の内容を変更 して下さい。
- MIME Type: レスポンスのコンテンツタイプ
- Response: レスポンス本体のコンテンツ
警告: Fastly が作成した WAF レスポンスの Status と Description は変更しないで下さい。
Fastly WAF のモニタリング
Fastly WAF ダッシュボードでは、サービスに設定された Fastly WAF の処理状況をモニタリングすることが出来ます。
Fastly WAF の無効化
サービスの Fastly WAF を無効にするには、カスタマーサポートチーム support@fastly.com までご連絡下さい。
制限事項
すべての WAF 製品には以下のような制限事項があります。
- False positives (誤検知): どのような WAF でも適正なトラフィックを悪意のあるものと誤認する可能性があります。このため、WAF でトラフィックをブロックモードで運用する前に、最低2週間程度ログをモニターすることを強く推奨しています。
- DNS 設定: トラフィックが WAF を経由した場合にのみ、WAF は機能します。 WAF 設定で指定されていないドメインや IP アドレスに送信される悪質なリクエストから、保護することはできません。
- 有効なルールセット: WAF は有効化したルールセットの範囲内でのみ検査を行います。特定の Web アプリケーションを保護するためには、必要に応じてルールセットの追加を行う必要があります。
- カスタムアプリケーションの脆弱性: あなたのアプリケーションや使用しているテクノロジー固有の脆弱性を攻撃者が発見し、その特定の脆弱性に対する悪用から保護するためのルールが WAF 設定にない場合、そのアプリケーションを保護することは出来ません。カスタマーサポートは、 ルールセットの追加を行うことで、これらのタイプの攻撃から保護することができます。ルールセットが提供する以上の保護が必要な場合、カスタマーサポートがそれらの悪意あるリクエストから保護するためのカスタム VCL の作成をサポートします。
- HTTP および HTTPS トラフィックのみを検査: WAF は HTTP および HTTPS リクエストのみを検査します。TCP、UDP、または ICMP リクエストは処理対象ではありません。
LA での制限
Fastly WAF はリミテッドアベイラビリティーであり、以下のような制限があります。
- cURL のフォーマットの問題により WAF ルールセットの確認には複雑な手順を必要とします。
- 設定の変更は API 経由でのみ可能です。
セキュリティープロダクトに関する追記
重要: Web アプリケーションが WAF を有効化した Fastly サービスからのみトラフィックを受信するように、TLS クライアント認証をサービスに適用し、 Fastly の IP 範囲からのリクエストのみをオリジン側で許可するよう設定することを推奨致します。
WAF や DDoS 緩和などのすべてのセキュリティサービスは、Fastly が提供するものも含め、あらゆる悪意ある攻撃や脅威を検知することが出来るわけではありません。Fastly のセキュリティ製品を利用していても、オリジン側のすべての Web アプリケーションに対して適切なセキュリティ管理を維持する必要があります。
Fastly のセキュリティ製品を本番環境に適用する前に可能な限りのテストを行い、サービスの導入後も継続してパフォーマンスの監視を行って下さい。 また、 Web アプリケーションなどのオリジン環境の変更や、 Fastly のその他のサービス設定の変更した場合、必要に応じてサービスの設定を調整して下さい。
Back to Top