フォーム読み込み中
情報セキュリティによるリスクマネジメントは、企業における最も重要な課題の1つです。セキュリティ対策を怠る事で、システムの停止や情報漏洩など大きな影響を及ぼします。
本記事では、Alibaba Cloud、Amazon Web Services、 Microsoft Azure と Google Cloud の4つのクラウドにおけるセキュリティ関連サービスの1つであるWAF(Web Application ファイアウォール)の各クラウドでの設定についてご紹介いたします。ご参考になりましたら幸いです。
WAFと関連するセキュリティ関連サービス
クラウドではさまざまなセキュリティ対策サービスがあります。
理由としては、一つの機能だけでは情報流出や攻撃などのありとあらゆるものを防ぐことが難しい場合があるからです。そのため、各クラウドは複数のサービスを組み合わせ構成できるように、不正なアクセスや攻撃に対処するためのサービスがいくつか用意されています。
そのセキュリティ関連サービスとして、ファイアウォール、IPS(Intrusion Prevention System)/IDS(Intrusion Detection System)、WAF(Web Application ファイアウォール)、DDos(Distributed Denial of Service attack)対策があります。
初めに簡単に機能を紹介させていただくと、ファイアウォールはネットワーク(IP/ポート)を防御、IPS/IDSはプラットフォームレイヤ(OS/ミドルウェア)を防御、WAFはアプリケーションレイヤ(http/https)を防御することに向いています。
また、大量のデータが送りつけられ、アクセスが集中することでサーバがパンクさせられるサイバー攻撃にはDDos対策が向いています。
このように、各セキュリティ機能には得意なことがあるため、どれか一つの機能で防御することよりも、いくつかのセキュリティ機能を組み合わせて、複合的に構成して、システムを防御していく方法があります。
セキュリティ関連サービスのうちWAFは、プログラムの不具合やバグ、設計上のミスなどといった脆弱性を狙った攻撃からデータなどを守ることができます。また、導入しておくことで、脆弱性があった場合に直ぐに対応することが困難な場合や、今後の未知の脆弱性に対しても速やかに対応することが期待できます。
今回はこのWAFの設定について各クラウドを見比べてみます。
Alibaba CloudのWAF設定
Alibaba Cloudでは、WAF機能としてWeb Application Firewallを使用して、外部のパブリックIPアドレスを関連付けます。
Alibaba Cloud にログインします。
検索キーワードに「waf」と入力し、リストの中から「Web Application Firewall」を選択します。
左メニュー「資産センター」ー「Web サイトアクセス」を選択します。
「Web サイトアクセス」を選択します。
この画面で各項目を入力/選択しますが、WAF定義を作成するために関連付けるIPやドメインが必要となります。
IPアドレスを選択した場合、後の手順にて「自動設定」の使用が可能です。
「次へ」を選択します。
自動設定のまま、「次へ」を選択します。
再度、左メニュー「資産センター」ー「Web サイトアクセス」を選択します。
リストの右メニューにある「設定」を選択し、内容を確認します。
保護ルールエンジン内のステータスが「有効」、モードが「防止」になっていれば、WAFとして機能します。
AWSのWAF設定
AWSでは、WAF機能としてAWS Firewall Managerを使用して、Application Load Balancerを関連付けます。
AWSマネジメントコンソールにログインします。
AWSマネジメントコンソールの検索に「waf」と入力します。リストから「AWS Firewall Manager」を選択します。
左メニューの「Web ACLs」を選択し、「Create web ACL」を選択します。
「Name」、「Resource type」欄を入力し、Nextボタンを選択します。
「Add rules」から「Add managed rule groups」を選択します。
Nextボタンを選択します。
そのまま、Nextボタンを選択します。
そのまま、Nextボタンを選択します。
ここで、各項目に設定した内容が反映されて問題がなければ、「Create web ACL」ボタンを選択します。
リソースとの関連付けは後から設定可能です。
ここから、リソースの関連付けを行います。
作成したWAFのリソースを選択します。
タブ「Associated AWS resources」を選択します。
「Add AWS resources」を選択します。
今回は、「Application Load Balancer」を選択し、登録してあるリソースを選択します。
これで、リソースの関連付けが出来ました。
AzureのWAF設定
Azureでは、WAF機能としてWeb Application Firewall ポリシーを使用して、フロントドアを関連付けます。
Azure Portalにログインします。
検索キーワードに「waf」と入力します。リストから、「Web Application Firewall ポリシー(WAF)」を選択します。
「フロントドアWAFポリシーの作成」を選択します。
「次に対するポリシー」欄で、「グローバルWAF(フロントドア)」を選択し、リソースグループを入力/選択します。
「次:管理されているルール」を選択します。
デフォルトのままにしておきます。
「確認および作成」を選択します。
検証に成功した後、「作成」を選択します。
完了するとデプロイされ、作成が完了となります。
ここから、リソースのフロントドアとの関連付けを行います。
作成したarmorのリソースを選択します。
「関連付け」を選択します。
「フロント ドア プロファイルを関連付ける」を選択します。
表示される「フロントドアプロファイル」と「ドメイン」の中から選択し、追加を選択します。
「保存」を選択します。
これで、リソースの関連付けが出来ました。
Google CloudのWAF設定
Google Cloudでは、WAF機能としてCloud Armorを使用して、Load balancer backend serviceを関連付けます。
Google Cloudコンソールにログインします。
検索キーワードに「armor」と入力します。リストから「Cloud Armor」を選択する。
「ポリシーの作成」を選択します。
「名前」を入力し、他はデフォルトのまま、「次のステップ」を選択します。
モードでは「詳細選択」を選択します。
ここで、「一致」欄に適用するルールをGoogle Cloud Armor カスタムルールの言語リファレンス に従い、記述します。
例えば、以下のように記述します。
evaluatePreconfiguredExpr('sqli-canary') || evaluatePreconfiguredExpr('xss-canary')
「次のステップ」を選択します。
そのまま、「次のステップ」を選択します。
そのまま、「ポリシーの作成」を選択します。
関連付け(ターゲットの追加)は後から設定可能です。
ここから、リソースの関連付けを行います。
作成したarmorのリソースを選択し、タブ「ターゲット」を選択します。
「新しいターゲットにポリシーを適用」を選択します。
今回は、「Load balancer backend service」を選択し、登録してあるリソースを選択し追加をします。
これで、リソースの関連付けが出来ました。
まとめ
各クラウドのWAFの設定を行ってみましたが、特徴的な違いは、WAFとのリソースとの関連付けとルールの設定方法です。
| Alibaba | AWS | Azure | |
|---|---|---|---|---|
| WAF作成時のリソース関連付け | 必須 | 作成後に設定可能 | 作成後に設定可能 | 作成後に設定可能 |
| リソース関連付け先 | Alibaba以外のリソース可能 | AWSリソース | Azureリソース | Googleリソース |
| ルール設定※ | 自動設定 | リストから選択 | リストから選択 | 指定のフォーマットにて編集 |
※カスタム設定は除く。
Alibabaは最初にリソースを登録する必要があるため、WAFの作成手順の前に関連付けるそのリソースを準備しておく必要があります。
Alibaba以外のクラウドは、WAF作成時の手順として、ルールの入力の後にリソースの関連付けの流れとなっています。
また、AlibabaはAlibaba以外の外部リソースをWAFと関連付けることが可能なオープンなサービスとなっています。
各クラウドともWAF関連の設定はそれほど難しい、というものではありませんでした。
WAFは現在あるシステム環境に追加することができる機能ですが、関連付けるリソースに制限があります。そのため、現在使用しているリソースと関連付けができない場合があるかもしれません。例えば、AWSでの関連付けにおいて今回はApplication Load Balancer(ALB)を使用しましたが、Elastic Load BalancingなどALB以外のロードバランサーを使用していた場合、ALBに切り替える作業が発生します。このように、WAFの設定を行うだけでなく、ネットワーク環境を見直す作業が必要になるかもしれません。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
