働き方やビジネスのあり方の変化により、今やあらゆる企業がデジタルカンパニーへと変貌を遂げています。このようなDXの加速は、セキュリティリスクの増加にもつながっています。モバイルデバイスやIoTデバイスの普及、クラウドの導入拡大により、攻撃対象が拡大し、サイバー攻撃はより一般的かつ高度になってきています。新たな攻撃ベクトルが出現し、自動化や大規模化により攻撃が巧妙化するなど、基本的な保護対策では十分ではなくなりつつあります。こうしたセキュリティ上の課題に対応するため、Microsoftは、クラウドネイティブな自己管理型セキュリティサービスであるAzure Web Application Firewall(Azure WAF)を進化させ、Azureやその他の場所で稼働するアプリケーションやAPIを、ネットワークエッジからクラウドまで保護することに取り組んでいます。
Azure WAFの基礎知識
APIにAzure WAFを導入するために、グローバルとリージョナルという2つのオプションが提供されてます。
- Global WAF:Azure WAFは、ネイティブで最新のクラウドコンテンツデリバリーネットワーク(CDN)であるAzure Front Doorに接続し、グローバルなアプリケーション高速化とインテリジェントなセキュリティをスケールで提供します。Azure WAFは、世界各地に数百カ所以上あるエッジロケーションを利用して、攻撃源に近いネットワークエッジでセキュリティ攻撃を阻止します。
- Regional WAF:Azure WAFは、仮想ネットワーク上で動作する拡張性の高いWebアプリケーション地域ロードバランサーであるAzure Application Gatewayにアタッチされます。内部および外部のWebサイトのトラフィックを管理し、世界60以上のAzureリージョンでアプリケーション保護を提供します。
何が変わったのか
Microsoftは最近のアップデートを共有し、お客様にセキュリティの向上、スケールの改善、簡単なデプロイメント、アプリケーションの管理の改善を提供する多くの新機能を発表できることに興奮しています。
アプリケーションとAPIの保護
- 新ルールセットでセキュリティ態勢を改善:3月29日、Azure Front Door Premium Tierに統合されたManaged Default Rule Set 2.0 (DRS 2.0) の一般提供を開始したことを発表しました。DRS 2.0には、Microsoft Threat Intelligenceによって作成された最新のMicrosoft独自のルールが含まれています。本日、Azure Application Gatewayに接続された地域WAFにおいて、Open Web Application Security Project (OWASP) Core Rule Set 3.2 (CRS 3.2) の一般提供を開始することをお知らせします。これらのアップデートされたルールセットは、Web脆弱性のカバレッジを高め、誤検知を減らし、Log4JやSpringShellのCVEなど、特定の脆弱性から保護することができます。
- 誤検知を低減した異常スコアリング機能:リージョナルWAFと同様に、グローバルWAFにもDRS 2.0でアノマリースコアリングを導入し、お客様のアプリケーションの誤検知を劇的に減少させることができます。異常スコアリングモードでは、受信したリクエストがWAFのルールに違反した場合、ルールの重大性に基づいて異常スコアが割り当てられ、異常スコアが閾値に達した場合にのみアクションが実行されます。
- サイズ制限の強化:CRS 3.2では、地域WAFは、最大2MBまでのリクエストボディサイズ検査と最大4GBまでのファイルアップロードサイズをサポートすることができるようになりました。
- APIセキュリティ:DRS 2.0では、グローバルWAFがXMLとJSONのコンテンツタイプをサポートし、インバウンドトラフィックを保護するためのリクエストインスペクションを可能にしました。Azure WAF on Azure Front Door and Azure Application Gatewayは、Azure API Managementとシームレスに統合され、高度なAPI管理およびセキュリティ機能を提供します。
- ルールごとの除外による高度なカスタマイズ:グローバルWAFと同様に、本日、Application Gatewayを備えた地域WAFにもCRS 3.2によるルールごとの除外を導入します。 除外項目は、ルール評価から除外する特定のリクエスト属性を指定することで、WAFエンジンの動作をオーバーライドすることができます。また、ヘッダー、クッキー、引数の名前または値による属性除外の定義が可能になりました。ルール、ルールセット、ルールグループ、またはルールセット全体に除外を適用することができ、誤検知を減らし、アプリケーション固有の要件を満たすための柔軟性が向上しています。本機能は現在、Azureポータル、Azureリソースマネージャ、PowerShell、CLI、SDKで利用できます。
ボットプロテクション
ボットは、お客様のデジタルフットプリントの重要な機能を自動化し、実行するために不可欠な存在となっています。しかし、攻撃者は、ボットを操作して悪意のあるタスクを実行することで、これをますます利用するようになっています。Azure Front Door Premium Tierとの統合により、Bot Manager 1.0ルールセットによるボット保護が利用できます。ボット検出および保護ルールは、Microsoft Threat Intelligenceに基づいており、優良ボット、悪質ボット、未知ボットの分類をサポートしています。悪質なボットには、悪意のあるIPアドレスからのボットや、IDを偽装したボットなどが含まれます。悪意のあるIPアドレスは、外部プロバイダーからのフィードと内部の脅威情報を基にしたMicrosoft Threat Intelligenceフィードによって提供されます。善良なボットに対しては、WAFはDNSの逆引きを使用して、ユーザーエージェントとIPアドレスの範囲がエージェントが主張するものと一致するかどうかを検証します。ボットシグネチャは動的に管理され、新たな脅威が検出されるとWAFによって自動的に更新されます。
次世代WAFエンジンでパフォーマンスとスケーラビリティを実現
この度、Azure Application Gateway上で次世代WAFエンジンの一般提供を開始しました。CRS 3.2とともにリリースされた新しいWAFエンジンは、高性能でスケーラブルなマイクロソフト独自のエンジンで、従来のWAFエンジンに比べて大幅な改良が加えられています。
新しいAzure WAFエンジンの利点は以下の通りです。
- パフォーマンスの向上:当社のテストラボでは、新エンジンの導入により、旧バージョンのエンジンと比較して、WAFのレイテンシーが大幅に短縮されました。また、POSTリクエストの処理で最大8倍、GETリクエストの処理で最大4倍のP99テールレイテンシーの大幅な短縮が確認されました。
- スケールの向上:次世代エンジンは、同じ計算能力で最大 8 倍の RPS を実現し、以前のエンジンでは不可能だった 16 倍のリクエストサイズ(現在は最大 2MB のリクエストサイズ)を処理することが可能です。
- より優れた保護機能:効率的な正規表現処理を行う新設計のエンジンは、RegEx DoS攻撃に対する保護機能を強化しました。
- 豊富な機能:新エンジンはCRS 3.2バージョンで利用可能です。新機能と将来の拡張は、新エンジンとCRSの後のバージョンでのみ利用可能です。お客様はCRS3.2バージョンに移行することを強くお勧めします。CRS 2.2.9は現在廃止の方向にあり、古いCRS 2.2.9の新規顧客の受け入れは停止されます。CRS 2.2.9の既存顧客は引き続きサポートされます。
新しいエンジンの詳細については、WAFエンジンのドキュメントを参照してください。
管理・監視
- WAFポリシーのネイティブな一貫したエクスペリエンス:Application Gateways WAF v2 は、デフォルトで config の代わりに regional WAF policy をネイティブに利用するようになり、Azure Application Gateway で従来の WAF config 体験をする必要がなくなりました。すべての最新機能と将来の拡張機能は、WAFポリシー経由で利用できるようになります。Application Gatewayの設定は、v1およびv2 SKUの既存のデプロイメントに対して引き続きサポートされますが、お客様は、より豊富な機能セットと改善された体験を提供するWAFポリシーを備えたApplication Gateway v2へ追加費用なしで移行することが強く推奨されます。Azureポリシーは、複数のアプリケーションゲートウェイデプロイメントで共有することができ、管理作業を簡素化することができます。Azure ポリシーでは、Azure Resource Manager、REST API、PowerShell、CLI、Terraform など、DevOps や API に適したツールを使用して、アプリケーションの展開とプロビジョニングを簡単に自動化することができます。
- 高度な分析機能:地域WAFで新しいAzure Monitorのメトリクスにアクセスし、より効果的な監視、トラブルシューティング、デバッグを行えるようになりました。WAF の Azure Monitor のログとメトリクスは、高度なログ分析のために中央ログプラットフォームにストリーミングでき、さらにセキュリティ監視とアラートのために Microsoft Sentinel と Microsoft Defender for Cloud によって消費されます。Microsoft Sentinelの統合により、セキュリティアナリストは他のソースからのデータを分析、相関させ、脅威を検出し、発生時対応を自動化することができます。たとえば、最近リリースしたSentinelハンティングクエリでは、Log4J SentinelハンティングクエリやSpringShell Sentinelハンティングクエリなどのゼロデイ脆弱性を検出し対応することができます。
- 組み込みのセキュリティレポート:Azure Front Doorのセキュリティレポートは、WAFのパターン、アクション別のトレンド、ルールタイプやルールグループ別のイベントを強力に視覚化します。セキュリティ脅威のアナリストは、脅威分析のために、IP、国、URL、ホスト名、ユーザーエージェントなどの異なる次元でトップイベントの内訳を表示できます。
- 管理性の向上:Azure WAFとAzure Firewall Managerの統合が近日中に予定されています。この統合により、お客様はAzure Front DoorおよびAzure Application GatewayプラットフォームでホストされるアプリケーションのWAFポリシーを大規模に管理できるようになります。