原文はこちら。
Oracle Cloud Infrastructure上のワークロード、また、マルチクラウドのWebアプリケーション向けのOracle Cloud Infrastructure Web Application Firewall (WAF)をリリースしたことをご案内します。Oracle Cloud Infrastructure WAFは、インターネットに面するWebアプリケーションを悪意のサイバー攻撃やスクレイピング・ボットから防御するための、エンタープライズグレードでクラウドベースのセキュリティソリューションです。2018年のOracleとKPMGによるCloud Threat Reportによれば、回答者の51%が、不正アクセスから組織の機密データを守る方法としてWebアプリケーションファイアウォールが最も優先度が高いと回答しています。
今日では、Webアプリケーションはデジタルビジネスの中核を成していますが、サイトに侵入しようという悪意を持った者によるサイバー攻撃の脅威に恒常的にさらされています。もし侵入を許せば、データを盗まれたり、不正なソフトウェアをサイトを訪れるお客様に広められてしまったり、評判を傷つけられたりしてしまいます。なのでクラウドにワークロードを移行しようとしているすべての企業にとってセキュリティが一番の関心事であること、また、Webアプリケーションファイアウォールが今日のデジタルビジネスにとって絶対必要だとみなされることに不思議はありません。Webアプリケーションファイアウォールなしでは、多くの企業は重要なアプリケーションやデータ、サービスをクラウドに移行しようとも考えないでしょう。Oracle Cloud Infrastructure WAFは、Oracle Cloud Infrastructure、オンプレミス、マルチクラウドのワークロードに安全と安心を提供します。
WAFサービスはサイバー攻撃から多層的なアプローチでWebアプリケーションを守ります。今回のリリースでは、Open Web Access Security Project(OWASP)のものや特定のアプリケーション、特定の規制準拠のためのものなど、250以上の定義済みルールが含まれています。WAFにはまた、Webroot BrightCloud®を含む複数のソースを統合した脅威インテリジェンスも提供します。管理者はアクセス制御を地理、IPアドレスのホワイトリスト/ブラックリスト、HTTP URLやヘッダの特徴にもとづいて行うことができます。ボット対策にはJavaScript受け入れ、CAPTCHAやデバイス認証、ヒューマンインタラクション・アルゴリズムなどのより高度なチャレンジを提供しています。WAFサービスにアプリケーションを登録しておくことで、レイヤー7分散DDoS攻撃から守ります。
WAFの仕組み
Oracle Cloud Infrastructure WAFはリバースプロキシとして動作し、通信フローやリクエストがもとのWebアプリケーションに到達する前に監査をします。また、Webアプリケーションサーバからエンドユーザーへのいずれのリクエストも監査します。
この強力なサービスによって、アプリケーションサーバからのデータ漏えいを制御し、外部の脅威からサーバを守ることができるようになります。
WAFの統合
Oracle Cloud Infrastructure WAFは他のOracle Cloud Infrastructureのアプリケーション、サービスとコンソール上で密に統合されており、セットアップと管理が簡単にできます。たとえば:
- WAFのポリシーにタグを付け、コストを追跡する
- Identity and Access Management(IAM)を用いてWAF管理へのアクセス制御を行う
- 監査サービスにWAFの変更を記録
WAFはEdgeサービス・メニューの配下にあります。パッシブ検知用の定義済みルールを有効にしたり、Webアプリケーションのリバースプロキシ―として個別のルールでWAFにブロックを行わせたりできます。
数百の準備済み防御ルール
WAFを通ったトラフィックのログはコンソール上で分析することもできますし、エンタープライズSIEMに引き入れることもできます。
詳細なアプリケーションログと可視性
コンソール上での統合に加えて、WAFでは堅固なRESTful APIの利用も可能です。これには複数の言語のSDKと、CLIおよびTerraformが含まれます。
主要なユースケース
以下はWebアプリケーションファイアウォールのユースケースの一部です:
- サイバー攻撃からの防御:Oracle Cloud Infrastructure WAFはクラウドベースで提供され、OWASPのルールセットに加え、250のルールセットをサポートしています。こうしたルールを使い、重要なWebアプリケーションを悪意のサイバー攻撃から守りましょう。インカミングリクエストはこれらのルールにより攻撃ペイロードを含んでいないか評価されます。リクエストが攻撃であると判断された場合、WAFはそのリクエストをブロックするか、またはアラートを挙げます。こうした攻撃は多種多様で、SQLインジェクションやクロスサイトスクリプティング、HTMLインジェクションなどの脅威を含んでいますが、いずれもWAFルールで検知、ブロックが可能です。
- データプライバシー標準のためのアクセス制御:アクセス制御を用いて重要なWebアプリケーション、データやサービスへのアクセスをコントロールしましょう。例えば、リージョンベースのアクセス制御はEUのGDPRコンプライアンス要件にぴったりです。しばしば、あるサービスの提供をGDPRに則った特定の地域に限る必要があります。リージョンベースのアクセス制御を用いてユーザーアクセスをある地域に限定し、たとえばアメリカにあるサーバーから情報を取得できないようにする、といったことが可能です。あるいは、特定の国からのアプリケーションアクセスを完全にブロックするといったこともできます。たとえば、アジアの国々とのビジネスを行っていない場合に、それらの国々からのアクセスをブロックする、といったように。
- 既存の管理システムとの統合:RESTful APIは、WAFへの十全なシステム間インターフェースを提供します。すでにバックエンドの管理システムを保持しており、コンソールは不要なので、WAFを直接既存管理システムと統合したいというときにはこれは理想的です。
- ボット対策:インターネット上では、ボットによるトラフィックは人間によるそれよりも多くなっています。ボットの大半は悪意のないものですが、しかしそれゆえ単にボットを全てブロックしてしまうということもできません。JavaScriptチャレンジ、CAPTCHAチャレンジ、ホワイトリスト機能をWAFルールセットと併せて用いることで、良いボットをとおして悪いボットをブロックすることが可能です。
- Hybrid and multicloud protection:ハイブリッドおよびマルチクラウドの防御:Many 多くのクラウドプロバイダがWebアプリケーションファイアウォールの防御を自身のクラウド上のアプリケーションのみに制限しています。Oracle Cloud Infrastructure WAFではそのようなことはありません。Oracle Cloud Infrastructure上のワークロードに加え、WAFはオンプレミスとマルチクラウド環境も防御します。Oracle Cloud Infrastructureへの移行にあたり、単一のWebアプリケーションファイアウォールでいずれの環境も防御できるというのは非常に重要なことです。移行のそれぞれのフェーズ―クラウド上でのテスト、移行とカットオーバー―でWAFがあなたの環境を防御します。
まとめ
Oracle Cloud Infrastructure WAFは、もはやVPNや専用線の必要なしにインターネットに接するWebアプリケーションを実現するための鍵となります。Oracle Cloud Infrastructure WAFについての詳細は、こちらのWebサイトまで。