(Security)WAF
業務でASPやクラウドを使用していると、
WAFは一応あるが、IDS、IPSは実装していない、
というサービスがいくつかあった。
セキュリティ対策としてWAFを実装されているのだと思うが、
WAFの強み・弱みを把握しているのか、怪しい会社もあったので
ちょっと自分の知識向上のために勉強したことを書く。
まず、
WAFとは、ご存知の通り、
Webアプリケーションファイアウォールの略。
何ができるかというと、
・SQLインジェクション
・XSS
・OSコマンドインジェクション
などに対する攻撃を検知・防止など。
不正なファイルへのアクセス、セッションハイジャックも検知することができる。
(セッションハイジャックなどはWebアプリの仕様を把握している担当者が設定を支援する必要がありそう)
攻撃を検知した場合の動きは、
・アラートの通知
・エラーコードの返却
・エラーページの表示や別画面へのリダイレクト
・ログへの出力
などが行える。
やはり課題もある。
・検知するための条件や設定値は、Webアプリの仕様を知っている担当者に委ねないといけない部分がある。
・設定値を多量に、且つ、複雑にした場合は、処理性能低下が起こることも懸念される。
・設定誤りにより、正常なリクエストを検知/遮断してしまったり、Webアプリの仕様変更に合わせて設定変更を迫られることもある。
・WAFは、サーバとして機能としている場合は、不正アクセスや攻撃を受けることもある
これらから察するに、WAFだけに防御を委ねることは、
セキュリティ面だけでなく、Webサービスの運用面、可用性からも避けたほうがよさそう。
ファイアウォールや、IDS、IPSなどと役割を分担し、構築するとよさそう。
プロのための〔図解〕ネットワーク機器入門 スイッチ、ルータからファイアウォールまで徹底解説
- 作者: 三輪賢一
- 出版社/メーカー: 技術評論社
- 発売日: 2012/11/02
- メディア: 単行本(ソフトカバー)
- 購入: 2人 クリック: 7回
- この商品を含むブログ (3件) を見る