読者です 読者をやめる 読者になる 読者になる

文系男子が日和るIT開発~IT知識なしで飛び込んだIT企業

文系男子だからIT企業に就職するなんて考えてもみませんでしたが、日和ながら日々くらいついています。

(Security)WAF

業務でASPクラウドを使用していると、
WAFは一応あるが、IDS、IPSは実装していない、
というサービスがいくつかあった。

セキュリティ対策としてWAFを実装されているのだと思うが、
WAFの強み・弱みを把握しているのか、怪しい会社もあったので
ちょっと自分の知識向上のために勉強したことを書く。

まず、
WAFとは、ご存知の通り、
Webアプリケーションファイアウォールの略。

何ができるかというと、
SQLインジェクション
XSS
・OSコマンドインジェクション
などに対する攻撃を検知・防止など。
不正なファイルへのアクセス、セッションハイジャックも検知することができる。
 (セッションハイジャックなどはWebアプリの仕様を把握している担当者が設定を支援する必要がありそう)

攻撃を検知した場合の動きは、
・アラートの通知
・エラーコードの返却
・エラーページの表示や別画面へのリダイレクト
・ログへの出力
などが行える。

やはり課題もある。
・検知するための条件や設定値は、Webアプリの仕様を知っている担当者に委ねないといけない部分がある。
・設定値を多量に、且つ、複雑にした場合は、処理性能低下が起こることも懸念される。
・設定誤りにより、正常なリクエストを検知/遮断してしまったり、Webアプリの仕様変更に合わせて設定変更を迫られることもある。
・WAFは、サーバとして機能としている場合は、不正アクセスや攻撃を受けることもある

これらから察するに、WAFだけに防御を委ねることは、
セキュリティ面だけでなく、Webサービスの運用面、可用性からも避けたほうがよさそう。
ファイアウォールや、IDS、IPSなどと役割を分担し、構築するとよさそう。

 

プロのための〔図解〕ネットワーク機器入門 スイッチ、ルータからファイアウォールまで徹底解説

プロのための〔図解〕ネットワーク機器入門 スイッチ、ルータからファイアウォールまで徹底解説