Azure WAFとは?
Azure WAFの概要
まずAzureとは、マイクロソフト社が提供するクラウドプラットフォームであり、ネットワークやデータベース、コンピューティングなど、さまざまな機能やサービスを組み合わせて利用するサービスです。
Azure Web Application Firewall(以下 Azure WAF)は、このAzure上で提供されているWAF(ワフ)機能です。Azureのクラウドサービスと連携が容易なため、Azureで作られた公開系のWebサイトに最適なセキュリティサービスです。豊富なセキュリティオプションが設定可能であり、クラウド型のWAFとして十分な機能を備えています。
これまでにもマイクロソフト社はWindowsやOfficeなどのソフトウェアを開発してきました。Azure WAFはこのようなソフトウェアを世に出してきた、マイクロソフト社の高い技術力を持って開発された、信頼できるサービスと言えるでしょう。
Azure WAFの仕組み
Azure WAFは、Application Gateway(以下APGW)・Front Door・CDNのいずれかに紐づけて利用します。
APGWとAzure Front DoorはどちらもHTTPやHTTPSの通信であるレイヤー7のロードバランサーとして機能します。APGWはリージョンサービスですが、Azure Front DoorはCDNの機能も備えているという違いがあります。
CDNは2021年12月現在ではパブリックプレビュー版として公開されています。特定の機能については、サポート対象外であり、機能が制限されていることがあります。
Azure WAFを機能させるためには、WAFポリシーの作成が必要です。このポリシーは、カスタム規則とマネージド規則セットの2種類で構成されます。
カスタム規則とはAzure WAFの利用者が自分で作成した規則のことです。カスタム規則とマネージド規則セットの両方が設定されている場合は、まずカスタム規則が優先されます。
Azure WAFの2つのモード
設定されたWAFポリシーに基づいて、Azure WAFは「検出モード」と「防止モード」の2つのモードで動作します。
検出モードでは、侵入や攻撃を検知した場合に、ログの記録のみを行います。一方、防止モードでは、侵入や攻撃を検知した場合、その攻撃を記録し、攻撃者に403エラーを送信して通信をブロックします。
Azure WAFの導入直後は、まず検出モードで動作させて、しばらくはログの収集に徹するのがおすすめです。その後、貯まったログ情報を元に適切なカスタムルールを更新すれば、防止モード時に発生しがちな誤検知を減らせるからです。
Azure WAFのルール
Azure WAFでは、Webアプリケーションをサイバー攻撃から保護するために、OWASPのルールセットで定義されているルールを採用しています。
-
OWASPのCore Rule Set(CRS) とは
OWASP(オワスプ)とは、Open Web Application Security Projectの略語であり、Webアプリケーションやソフトウェアのセキュリティの研究や脆弱性を診断するツールの開発、セキュリティに関するイベントの開催などの活動をしているコミュニティのことです。
OWASPでは重要なセキュリティの脆弱性を10個取り上げてTOP10として公開しています。2021年10月のOWASPのTOP10は以下の通りです。
- アクセス制御の不備
- 暗号化の失敗
- インジェクション
- 安全が確認されない不安な設計
- セキュリティの設定ミス
- 脆弱で古くなったコンポーネント
- 識別と認証の失敗
- ソフトウェアとデータの整合性の不具合
- セキュリティログとモニタリングの失敗
- サーバーサイド・リクエスト・フォージェリ
これらのTOP10の脆弱性を防御するために、Azure WAFがマネージドルールとして採用しているのが、OWASPのCore Rule Set(コアルールセット:CRS)です。2021年12月現在では、デフォルトでCRS3.0が設定されていますが、CRS3.2やCRS3.1、CRS2.29も選択可能です。またルールは目的に合わせてカスタマイズできます。
-
Azure WAFで防御できるサイバー攻撃
Azure WAFではOWASPのCRSを元にしたルールを使い、以下のようなWebアプリケーションに対するサイバー攻撃を防ぐことができます。
- SQLインジェクション攻撃
- クロスサイトスクリプティング攻撃
- その他の一般的な攻撃 (コマンドインジェクション、HTTP要求スマグリング、HTTPレスポンススプリッティング、リモートファイルインクルードなど)
- HTTP プロトコル違反
- HTTP プロトコル異常 (ホストユーザーエージェントと承認ヘッダーが見つからない場合など)
- ボット、クローラー、スキャナー
- 一般的なアプリケーション構成ミス (Apache や IIS など)
引用:Microsoft「CRS 規則グループと規則 - Azure Web Application Firewall | Microsoft Docs」
Azure WAFを通常のファイアウォールやIDS、IPSと合わせれば、Webアプリケーションに加えて、サーバーやネットワーク、OSなどの保護も可能となります。このように様々なレイヤーにおける防御は「多層防御」と呼ばれ、堅牢なWebアプリケーションの運用には、欠かせない概念となっています。
Azure WAFのメリット
-
素早く導入できる
Azure WAFはクラウド型のWAFであるため、追加のソフトウェアが不要で素早く導入できます。WebアプリケーションにAzure WAFを構成・有効にし、ルールを定義するだけで、Webアプリケーションの保護が可能となります。
-
高い費用対効果
Azure WAFは使用した分だけ費用を支払えばよいので、高い費用対効果を持ちます。初期導入費用も不要です。
Azure WAFのデメリット
Azure WAFのデメリットとして、運用の難しさがあります。
Azure WAFはセルフサービスなので、ルールの作成やチューニングは各自で行わないとならず、専門的な知識が必要になります。
ルール設定が正しくないと、許可すべき通信をブロックしてしまったり(誤検知)、逆にブロックすべき通信を許可してしまったりすることもありえます。
新規の脆弱性に対しても、各自で常に情報を集め、新しい脆弱性が発見されたら対応をしないとなりません。
Azure WAFの運用には、専門的な知識と多くの時間が必要となり、業務負担が非常に大きいです。
Azure WAF運用を自動化する「WafCharm」
Azure WAF自動運用ツール「WafCharm(ワフチャーム)」は、このようなAzure WAFの運用の課題を解決します。
WafCharmはアクセスログから発見した攻撃をもとに、弊社のセキュリティエンジニアが常にルールを更新しているため、ルールをチューニングする手間がなくなります。
WAFで漏れた脅威に対してもWafCharm自身で保有する数百ものルールで再マッチングを行い、攻撃者と認定したIPアドレスからのアクセスをブロック遮断します。
また1万サイトを超えるアクセスデータから計算した弊社独自のIPレピュテーションもご利用いただけます。
WafCharmがあなたの代わりにAzure WAFの運用を自動で行い、あなたは本来の業務に専念することが可能になります。
WafCharmの詳しい資料はこちらからダウンロードできます。