Web Application Firewallに関するよくある質問
一般的な質問
Oracle Cloud Infrastructure Web Application Firewall(WAF)サービスとは何ですか。
Oracle Cloud Infrastructure Web Application Firewall(WAF)は、悪意のある不要なインターネット・トラフィックからアプリケーションを保護する、クラウドベースかつPCI準拠のグローバル・セキュリティ・サービスです。Oracle Cloud Infrastructure WAFは、インターネットに直接接続しているあらゆるエンドポイントを保護し、お客様のアプリケーション全体に一貫したルールの適用を可能にします。
Oracle Cloud Infrastructure WAFを使用すると、クロスサイト・スクリプティング(XSS)、SQLインジェクション、その他のOWASP定義の脆弱性など、インターネットの脅威を回避するルールを作成および管理できます。望ましいボットからのアクセスを許可しながら、不要なボットの攻撃を阻止することができます。ルールを使用し、地理的条件または着信要求のシグネチャに基づいてアクセスを制限することもできます。
オラクルの24時間365日活動するグローバル・セキュリティ・オペレーション・センター(SOC)は、インターネットの脅威の状況を継続的に監視し、ITセキュリティ・チームの手足としての役割を果たします。
Oracle Cloud Infrastructure WAFの使用例を教えてください。
Oracle Cloud Infrastructure WAFは、インターネットに直接接続しているWebアプリケーションまたはHTTPベースのAPIへの適用を検討してください。
Oracle Cloud Infrastructure WAFの責任共有モデルとは何ですか。
| 責任 | オラクル | お客様 |
|---|---|---|
| Webアプリケーションに対するWAFポリシーのオンボーディング/構成 | 非対応 | 対応 |
| WAFオンボーディングの依存関係(DNS、イングレス・ルール、ネットワーク)の構成 | 非対応 | 対応 |
| WAFへの高可用性(HA)の提供 | 対応 | 非対応 |
| 分散型サービス妨害(DDoS)攻撃の監視 | 対応 | 非対応 |
| WAFインフラストラクチャへのパッチ適用および最新状態の維持 | 対応 | 非対応 |
| データプレーン・ログでの異常かつ望ましくない動作の監視 | 対応 | 対応 |
| 新たな脆弱性と攻撃対策に基づいた新しいルールの構築 | 対応 | 非対応 |
| 新たな推奨ルールの確認および適用 | 非対応 | 対応 |
| トラフィックに対するWAFのアクセス・ルールとボット管理方法の調整 | 非対応 | 対応 |
Oracle Cloud Infrastructure WAFのメリットは何ですか。
Oracle Cloud Infrastructure WAFでは、WebアプリケーションまたはAPIへの悪意のあるリクエストを除外できます。また、トラフィックの送信元に関する可視性が高まり、レイヤ7のDDoS攻撃が阻止されることで、可用性が向上します。
ボット管理ソリューションは、IPレート制限、CAPTCHA、デバイス・フィンガープリント、ヒューマン・インタラクション・チャレンジなどの検出技術を使用して、悪意のあるボット・アクティビティや疑わしいボット・アクティビティを特定し、競合データのWebサイトをスクレイピングからブロックします。同時に、WAFではGoogle、Facebookなどからの正当なボット・トラフィックが、意図どおりに継続してWebアプリケーションにアクセスすることを許可できます。
Oracle Cloud Infrastructure WAFでは、最適なグローバル・ポイント・オブ・プレゼンス(POP)を決定するインテリジェントなDNSデータ駆動型アルゴリズムを採用しており、特定のユーザーにリアルタイムでサービスを提供します。その結果、ユーザーは、可能な限り最高のアップタイムとサービス・レベルを実現しながら、グローバル・ネットワークの問題と潜在的な遅延を回避できます。
Oracle Cloud Infrastructure WAFには、どのような機能と主な特長がありますか。
- アーキテクチャの導入と配信元のロック・ダウン: トラフィックをポート80と443に制限し、それ以外の接続はすべて切断されるようにする。
- DNSによるダイナミックなトラフィック・ルーティング: DNSベースのトラフィック・ルーティング・アルゴリズムを活用し、世界中の何千もの拠点からのユーザー・レイテンシを考慮して、最も低レイテンシのルートを決定します。
- 高い可用性: Webアプリケーション配信を構成する場合、Oracle Cloud Infrastructure WAFには、複数の送信元サーバーを追加できる高可用性構成オプションが複数用意されています。これらの設定やサーバーは、プライマリ送信元サーバーがオフラインであるか、正常性チェックに正しく応答しない場合にのみ使用されます。
- ポリシー管理: Oracle Cloud Infrastructure WAF構成内の特徴や機能を構成および管理します。
- この機能により、ユーザーはコンテンツ・ライブラリに関連するレポートにアクセスできます。
- サポート: チームに問題を通知し、緊急度(sev1, 2, 3)に応じてチケットをエスカレーションします。
Oracle Cloud Infrastructure WAFの使用を開始するにはどうすればよいですか。
Oracle Cloud Infrastructure WAFは、Universal Credits Modelを利用し、次のメトリックに基づいてクレジットが消費されます。
- リクエスト数(ボット管理を有効にする場合、価格は高くなります)
- WAFから出力されるデータ/トラフィック量
- Oracle Cloud Infrastructure以外のエンドポイントの数(月次)
他のサービスを使用せずにOracle Cloud Infrastructure WAFに登録できますか。
はい。Oracle Cloud Infrastructure WAFは、Universal Credit Model登録者が利用できます。お客様は、Oracle Cloud Infrastructure WAFのみを活用し、OCI以外のワークロードを保護することもできます。Oracle Cloud Infrastructureコンソールを活用する際、オブジェクト・ストレージにはわずかな依存関係があり、請求に表示されます。
APIですべてのOracle Cloud Infrastructure WAF機能を利用できますか。
はい。Oracle Cloud Infrastructure WAFはAPIを最優先に設計されているため、コンソールの機能はすべてAPIで利用できます。
コンソールからすべてのOracle Cloud Infrastructure WAFコントロールを利用できますか。
2021年3月時点ではありません。APIでのみ実行できる管理機能も複数存在します。APIのみの機能には、次のようなものがあります。
- 脅威インテリジェンス
- IPレート制限
- アクセス・ルールの並べ替え
- 証明書の管理(単一の証明書/キーのアップロード以上の操作)
- レポート作成とテレメトリ(Oracle Cloud Infrastructureパブリック・テレメトリが利用できない場合を想定)
今後、上記アイテムについてもコンソールに追加し、これらの機能を管理するためのAPI、SDK、Terraformの例を公開する予定です。
Oracle Cloud Infrastructure WAFログをSIEMにインポートするにはどうすればよいですか。
推奨されるアプローチは、APIを使用してSIEMにWAFログを取り込む方法です。現在、SIEMプロバイダ向けの構築済みのプラグインは提供されていません。
どのOracle Cloud InfrastructureリージョンからWAFを構成できますか。
Oracle Cloud Infrastructure WAFは、あらゆる市販リージョンから構成できるグローバル・サービスです。ただし、データは当該リージョンに限定されません。あらゆるOracle Cloud Infrastructure WAF構成は、グローバルな「エッジ」に追加されます。
Oracle Cloud Infrastructure WAFのグローバル・ポイント・オブ・プレゼンスはどこにありますか?
Oracleには現在、合計11のエッジ・ノードがあり、次のグローバル拠点*があります。
- ブラジル
- インド
- シドニー
- フランクフルト
- スイス
- ロンドン
- フェニックス
- アッシュバーン
- トロント
- 東京
- ソウル
*一部の地域には複数のPoPがあることに注意してください。
技術的な質問
Oracle Cloud Infrastructureは、レイヤー7(L7)の分散型サービス拒否(DDoS)保護機能を提供していますか。
はい。Oracle Cloud Infrastructureは、Webアプリケーションおよびサービスに対して無制限のDDoS保護機能を提供しています。
L7 DDoS保護機能はどこで提供されていますか。
DDoS保護機能は、Oracle Cloud Infrastructureエッジ・ネットワークで提供され、幅広いエッジ・アプリケーションをサポートするために、グローバルに分散された大容量のポイント・オブ・プレゼンス(PoP)で構成されています。Oracle Edge PoPは、Oracle Cloud Infrastructureのリージョンや世界中のスタンドアロンの場所に存在します。具体的には、L7 DDoS攻撃はOracle Web Application Firewall(WAF)によって管理され、L7 DDoS脅威を阻止できるように設計されたアクセス制御機能とボット管理機能の完全なセットが含まれています。Oracle WAFは、各PoPでのほとんどのDDoS攻撃から保護できるように設計されています。オラクルは大量のL7 DDoS攻撃が発生した場合、迅速な応答時間を確保するためにグローバルに分散されたDDoSスクラビング・センターを使用します。
Oracle Cloud InfrastructureのL7 DDoS攻撃対策機能はどのようにプロビジョニングされますか。
このサービスは、Oracle Cloud Infrastructureコンソールから利用できます。お客様は、コンソールのWAFのボット管理メニューからL7 DDoS保護機能を選択します。お客様は次の2つのオプションのいずれかを選択できます。
1. オンデマンド: L7 DDoS保護機能は、お客様の判断で有効にします。
2. Always-on: L7 DDoS保護機能は常に有効で、自動的に保護機能が動作します。
L7 DDoS攻撃対策機能には何が含まれていますか。
L7 DDoS攻撃対策機能はOracle Cloud Infrastructure WAFの一部であり、ユーザーは、高度なL7 DDoS攻撃を阻止できるように設計された幅広いポリシー・オプションから選択して、機能をアクティブにします。ポリシー・オプションには、JavaScript攻撃、IPレート制限、デバイス・フィンガープリント、およびヒューマン・インタラクション・チャレンジなどが含まれています。「常に有効」オプションを選択すると、これらの攻撃対策が完全に自動的に動作します。「オンデマンド」オプションを選択し、L7 DDoS保護機能をユーザーの判断で手動で有効化することもできます。
OracleのL7 DDoS攻撃対策の費用はどのようになっていますか。
L7 DDoS攻撃対策機能は、Oracle Cloud Infrastructure WAFの一部です。WAFは、トラフィックおよびリクエスト量に基づく従量制のサブスクリプションです。詳細は、Oracleの価格設定ページをご覧ください。
Oracle Cloud Infrastructure L7 DDoS攻撃対策はどのように機能しますか。
トラフィックは、リバース・プロキシ・アーキテクチャを介してOracle Cloud Infrastructureエッジ・ネットワークに自動的にルーティングされます。エッジ・ネットワークには、Webアプリケーションに到達する前にすべてのHTTPおよびHTTPSトラフィックを検査する、グローバルに分散されたPoPが存在します。PoPは、有効化されたDDoS対策を使用して、悪意のあるボットネットからのトラフィックとして識別されたトラフィックを自動的に排除します。
レポート作成機能にはどのようなものがありますか。
Oracle Cloud Infrastructureポータルには、アラート、ブロック・リクエスト、ボット攻撃対策、およびログに関するほぼリアルタイムのレポート作成機能を搭載したコンソールが用意されています。
Oracle Cloud Infrastructure WAFエッジ・ノードからの接続のみを許容するように送信元をロック・ダウンするにはどうすればよいですか。
特定のCIDR範囲からの接続のみを受け入れるように元のイングレス・ルールを構成します。更新済リストを取得するには、スタート・ガイドのWAFの保護を参照してください。
顧客はCAPTCHAページをブランディングすることができますか。
いいえ、現時点ではこの機能をサポートしていません。
Oracle Cloud Infrastructure WAFはOWASPのどのCore Rule Set(CRS)をサポートしていますか。
Oracle Cloud Infrastructure WAFはCRS 3.0をサポートしています。
すべてのセットのすべてのルールを同時に有効にする方法はありますか。
API、CLI、SDKまたはTerraformを使用してスクリプトを作成することをお薦めしますが、すべてを同時に有効にすることはお薦めしません。
WAFサービスに関する詳細情報はどこで見つけられますか?
詳細は、Web Application Firewallのメイン・ページをご覧ください。
Fusion Applications向けOracle Cloud Infrastructure WAF
Fusion Applications向けOracle Cloud Infrastructure WAFはどのように機能するのでしょうか?
Oracle Fusion Cloud Applications Suite向けWAFは、Oracle SaaS Cloud Securityチームがアプリケーション・データに関するアプリケーション・レベルの攻撃をさらに可視化することで、お客様のセキュリティ体制を向上させます。Fusion Applications向けWAFは、お客さまに、完全な透明性と、オラクルの専門分野エキスパートによるエンドツーエンドの管理を提供します。このすぐに利用可能なサービスにより、お客様は、アプリケーションの回復力や可用性に影響を与えることなく、Fusion Applicationsの更新、監視、管理、対応、および保護を担当する24時間365日営業のセキュリティ・オペレーション・センターからサポートを受けることができます。
Fusion Applications向けOracle Cloud Infrastructure WAFの価格はいくらですか?
Fusion Applications向けWAFは、Oracle Cloud InfrastructureでホストされているすべてのFusionのお客様に対して無料で提供されます。
Fusion Applicationsのパフォーマンスに影響はありますか?
Fusion Applications向けWAFはロード・バランサと共にデプロイされ、受信トラフィックへのレイテンシの影響を最小限に抑えながら、Fusion ApplicationsやAPIへのWebリクエストのあらゆる部分を検査できる数百のルールに対応しています。
Oracle Cloud Infrastructure WAFとFusion Applications向けWAFの違いは何ですか?
Fusion Applications向けWAFは、Oracle Cloud Infrastructure WAFをSaaS製品向けに細かく調整したバージョンです。SaaSのセキュリティ・チームが設計したすぐに利用可能なルールに基づいてトラフィックをフィルタリングし、レイヤー7を常時保護することで、SaaSアプリケーションを攻撃から保護します。