LOG IN SIGN UP
Documentation

Web アプリケーションファイアウォール (WAF)

  Last updated June 07, 2017

Fastly の Web アプリケーションファイアウォール(WAF)セキュリティサービスは悪意のあるリクエストを検出し、オリジンの Web サーバーに到達する前にログおよびブロックします。Fastly WAF では潜在的な攻撃を検出するルールを提供します。 ルールはポリシーとしてまとめられ、エッジの Fastly サービスに展開されます。WAF 機能の利用を開始するためには営業チームまでメールでご連絡下さい。

Fastly WAF の仕組み

Fastly WAF は、HTTP または HTTPS 上で実行される Web アプリケーションを既知の脆弱性やクロスサイトスクリプティング(XSS)や SQL インジェクションなどの一般的な攻撃から保護するように設計されています。Fastly WAF では、分散アプリケーションのクライアントエッジに配置された保護レイヤーを提供して、 Web アプリケーションおよび API の脆弱性を悪用した悪質なアクティビティを検出およびブロックします。

Image showing attacker blocked by the Fastly WAF

Fastly WAF は、従来のネットワークファイアウォールアプライアンスと同様に、所定のセキュリティルールを使用して Web アプリケーションへのトラフィックを監視および制御します。ネットワークファイアウォールは IP レベルで動作し、信頼できないネットワークの IP アドレスからのリクエストをブロックしネットワークへのアクセスを防ぎます。Fastly WAF は、ネットワークまたはトランスポート層レベルのファイアウォールとは異なり、主に HTTP アプリケーション層で Web トラフィックを分析することによって機能します。すべての HTTP(S) ヘッダーと、 POST リクエストの本体を読み取り、指定されたルール・セットに基いて検査を実行します。

Fastly ではデフォルトの WAF ルールセットを提供します。このデフォルトのルールセットに個別のアプリケーションを狙った攻撃から保護するためのルールセットを追加することが可能です。Fastly WAF がご利用中のサービスのバージョンに適用されると、各ルールのステータスをログ、ブロック、または無効に変更することが出来ます。 ルールの変更にはバージョンがなく、設定変更後すぐに有効になります。

Fastly WAF を有効にする

Fastly WAF を利用するために Web アプリケーションやオリジンサーバーの設定を変更する必要はありません。まずは Fastly のセールスチームまでご連絡下さい。その後カスタマーサポートチーム が以下のような導入手順についてご案内します。

上記の設定が完了後 Fastly WAF を有効化します。ログの監視を開始し、正当なリクエストと、オリジンを保護するためにブロックすべきリクエストを決定して下さい。

ログ配信の設定

悪意ある活動をリクエストを通してモニタリングするため WAF 変数を含むログ配信設定を作成します。既存のログ配信設定を利用、または Fastly WAF 用に新たに設定を追加しても構いません。ログ情報は WAF イベントをモニターするために利用します。

ルールセットの設定

Fastly では Trustwave SpiderLabs による ModSecurity Rules と、OWASP Top Ten をベースとした WAF のルールセットをデフォルトとして提供します。デフォルトのルールセットでは Web アプリケーションに対する幅広い一般的な攻撃を検知を出来るように設計されています。

Fastly では WAF を適用するのデフォルトのプリフェッチ条件として (!req.backend.is_shield) を WAF ポリシーに適用します。これにより、サービスにオリジンシールドが適用されているか否かにかかわらずにオリジンへ向かうトラフィックのみを確実に検査します

プリフェッチ条件は変更が可能です。たとえば、ホワイトリストに登録されていない IP アドレスからのリクエストのみを WAF の検査の条件として追加すること等が可能です。

curl -v -X PUT https://api.fastly.com/service/<your Fastly service ID>/version/<version_id>/condition/Waf_Prefetch -H "Fastly-Key: FASTLY_API_TOKEN" -H "Content-Type: application/json" -d '{"statement":"!req.backend.is_shield && !(client.ip ~ whitelist)"}' -H "Accept: application/json"

Fastly によって特定のアプリケーションや技術(例えば、WordPress、Drupal、PHP、.Net)用のルールセットを追加することも可能です。ルールセットを追加すると、WAF の処理に必要な時間が増加する可能性があることに注意して下さい。

適用するルールセットを設定すると、Fastly がルールセットをメンテナンスして最新状態に維持します。ただし、オリジン側で使用するアプリケーションやプラットフォームを変更した場合は Fastly に通知する必要があります。

レスポンスのカスタマイズ

Fastly のカスタマーサポートチームは WAF がブロックしたリクエストに返却するカスタムレスポンスを作成し、 HTTP ステータスコードを割り当てます。 Fastly WAF を ブロックモードに設定した場合、ルールセットに合致したリクエスト用に、 Fastly のキャッシュサーバーが作成したカスタムレスポンスが直接配信されます。レスポンスをカスタマイズしたい場合は、Fastly のコントロールパネルから次の内容を変更 して下さい。

Fastly WAF の無効化

サービスの Fastly WAF を無効にするには、カスタマーサポートチーム support@fastly.com までご連絡下さい。

制限事項

すべての WAF 製品には以下のような制限事項があります。

LA での制限

Fastly WAF はリミテッドアベイラビリティーであり、以下のような制限があります。

セキュリティープロダクトに関する追記

WAF や DDoS 緩和などのすべてのセキュリティサービスは、Fastly が提供するものも含め、あらゆる悪意ある攻撃や脅威を検知することが出来るわけではありません。Fastly のセキュリティ製品を利用していても、オリジン側のすべての Web アプリケーションに対して適切なセキュリティ管理を維持する必要があります。

Fastly のセキュリティ製品を本番環境に適用する前に可能な限りのテストを行い、サービスの導入後も継続してパフォーマンスの監視を行って下さい。 また、 Web アプリケーションなどのオリジン環境の変更や、 Fastly のその他のサービス設定の変更した場合、必要に応じてサービスの設定を調整して下さい。


Additional resources:


Back to Top