目次

  1. 1. はじめに
  2. 2. Azure WAF の特徴
  3. 3. WafCharm の特徴
  4. 4. WafCharm Azure 版の制限事項
  5. 5. おわりに

1.はじめに

2020 年 11 月 11 日 WafCharm が Azure WAF に対応しました。WafCharm にとっては非常に大きなステップです。AWS、Azure それぞれの純正 WAF においてユーザーの運用課題を解決していきます。本記事ではAzure WAF の特徴、 WafCharm の特徴、WafCharm を利用するにあたっての要件を簡単にまとめました。

2.Azure WAF の特徴

Azure WAF の特徴は自身でルールを用意しなくても最初から OWASP(Open Web Application Security Project)の CRS(コアルールセット)を使用できる点です。初期設定時に OWASP のバージョンを指定すれば最初から機能が有効な状態で利用できます。さらに、悪意のあるボットから守るルールも追加することが可能です。
2020年11月の段階で Application Gateway と FrontDoor に正式対応、Azure CDN に対してベータ対応しており利用することが可能です。(WafCharm は FrontDoor と CDN については追って対応する予定です。)
WAF Policy という WAF の設定単位を柔軟につけ外しすることで WAF ルールの調節が可能です。これは AWS WAF でいう Web ACL に対応するリソースで、AWS WAF の利用経験があれば想像が容易でしょう。

Azure では各種ログを使用して Application Gateway の管理を行えます。Azure WAF での検知状況はファイアーウォールログとして出力されるので、このログを確認することで検知状況を把握できます。また、Azure Monitor 等と連携することで、視覚的に確認しやすいようにグラフ等での表示も可能です。

カスタマイズ機能として、CRS 内の個々のルールの ON/OFF が可能です。また、カスタムルールをユーザー自身で作成することも可能です。

公式情報:Azure Application Gateway 上の Azure Web アプリケーション ファイアウォールとは

3.WafCharm の特徴

WafCharm Azure 版では登録可能な 100 個のカスタムルール枠を利用して、最適なルールを自動で運用していきます。 CRS の場合は誤検知があった際にルールを無効にすることでしか対応できませんが、WafCharm であれば特定のパス( URI )をそのルールからのみ除外するなどお客様環境に合わせたカスタマイズでセキュリティの低下を最小限に抑えた対応が行えます(*)。

さらに、アクセスログを利用した再チェック処理を行うことにより、再チェックにマッチしたIPアドレスがブラックリストに登録され、よりセキュリティを強固なものにします。重要度の高いルールを前面に配備し、細かい脆弱性やディレクトリトラバーサルなどを裏側でキャッチしてサイバー攻撃の標的となる前に危険な IP を遮断します。

2020年11月段階においては AWS 版に対してメールでの通知機能や月次レポートが実装されていないのですが、追って実装しリリースいたします。こちらは攻撃を受けたら即時で登録したメールに報告する機能と月次で攻撃情報のサマリーを閲覧できる機能になります。

(*)カスタマイズ対応はビジネスプラン以上で無償対応可能です。エントリープランの場合は別途お見積もりが必要となります。

WafCharm アーキテクチャ概要

4.WafCharm Azure 版の制限事項

・Application Gateway WAF v2 にのみ対応しています。
 FrontDoor、Azure CDN には対応しておりません。
・WAF ポリシーの適用単位は Application Gateway 単位となります。
 リスナー単位でのポリシー適用はできません。
・CRS は WafCharm では管理できないため、全てのルールを OFF にしていただく必要がございます。(詳しくはこちら)
・レポート機能/通知機能は提供しておりません。
・有償版を利用することができません。

5.おわりに

WafCharm Azure 版はトライアル利用可能ですので Azure 環境をご利用の方は、この機会に是非お試しください。AWS 版は引き続きトライアルから有償までご利用可能ですので、そちらも是非ご検討ください。