最新情報

A10 WAFの特徴と3つの動作モードを活用した導入と運用

A10 WAF概要

A10のWAFは、ロードバランサー機能を中心として提供するThunder ADCシリーズとロードバランサー機能とファイアウォール機能を統合したThunder CFWシリーズ上でサポートされており、追加ライセンス費用も必要なく、設定を投入するだけですぐに利用することができます。

1台でロードバランサー、ファイアウォールの機能を有効にしながら同時にWAFも利用できるため、非常にシンプルなネットワーク構成で導入することができます。

複数の機能を集約することで、ハードウェアや保守・運用にかかるコストを大幅に削減することも可能です。

waf1.png

図1:Thunderシリーズによる複数機能の集約

A10のWAFの大きな特徴は、シグネチャーベースではなく、ルールベースであるということです。

シグネチャーベースのWAFは、特定の脆弱性単位で検知することを目的としていますが、ルールベースのWAFは特定の攻撃のアルゴリズムを検知する仕組みになっています。未知の脆弱性で特定の攻撃が実行された可能性がある場合、シグネチャーベースのWAFでは対応が難しいですが、攻撃のアルゴリズムにフォーカスしたルールベースのWAFであれば未知の脆弱性を防ぐことが可能です。

waf2.png

図2:未知の脆弱性をついた攻撃

また、シグネチャーはデータベース化されているため、脆弱性が増えるにつれてシグネチャーを参照して検査するデータ量が多くなります。そのため、シグネチャーベースのWAFはパフォーマンスに影響を及ぼすこともあります。

waf3.png

図3:シグネチャーベースとルールベースWAFの違い

脆弱性対応が取れているシグネチャーを除外することでパフォーマンス低下を回避することができますが、そのチューニング作業は非常に手間がかかり見極めは容易ではありません。

そのため近年ルールベースのWAFを採用するサイトも増えてきています。

A10のWAF導入アプローチ:

WAFの運用で難しいのは誤検知を減らすことです。正規のユーザーを遮断してしまったり悪意のあるユーザーを通してしまったりといった誤検知を減らすためには、ルールの調整が必要になります。

そこで、WAFを導入するために役立つA10のアプローチをご紹介します。

A10のWAFはバーチャルIP・ホストやURLパス単位でポリシーを作成することができ、このポリシーには個別にWAFテンプレートを適用することができます。

すでに稼働しているサイトにWAFを導入する場合には、既存のユーザーに影響を与えないように注意しなければなりませんが、試験用のポリシーと本番用のポリシーを分けて導入していくことで効率的にルールを調整することができます。

waf4.png

図4:同一ホストで異なるURLを利用したWAFのテスト

A10 のWAFには、学習モード、パッシブモード、アクティブモードの3つの動作モードがありますが、テンプレート単位で動作を指定することが可能なので、URLパス単位で細かく動作モードを制御することが可能になります。

waf4-2.png

例えば、管理者向けのURLパスはセキュリティリスクが高いためアクティブモードで検知した通信を遮断したり、一般ユーザーがアクセスするURLパスは学習モードで設定値を学習させてからモードを切り替えたり、といったことができます。

各動作モードの詳細は以下の通りです。

学習モード

学習モードでは、以下の値をバインドされたテンプレートにセットするように動作します。

  • Maximum Headers:リクスエトに存在するヘッダー数の上限値
  • Maximum Cookies:リクエスト中のクッキー数の上限値
  • Buffer Overflow
    • max-url-len:URLの最大長
    • max-hdrs-len:ヘッダーの最大長
    • max-cookie-len:クッキーの最大長
    • max-post-size :POSTデータの最大長
  • AllowedHTTPMethods:許可するHTTPメソッド
  • URL Check:許可するURLパス (学習モードで認識したパスのみ許可したい場合は有効)

上記の項目について学習期間中に発生したリクエストメッセージからセットするので学習期間中にウェブサイトへのアクセスパターンが網羅されるほど誤検知が少なくなります。試験期間中で検出するアクセスパターンの網羅性が低い場合は初期値として値を設定し、パッシブモードで検知状況を確認しながらアクティブモードに変更していくことをお勧めします。

パッシブモード

パッシブモードでは、検知のみ動作し通信を遮断しません。このモードではログだけ取得したい場合に有効ですので、WAFをアクティブモードに移行する前の動作確認として利用することができます。

アクティブモード

アクティブモードでは、検知と通信の遮断が実行されます。セキュリティリスクの高いURLパスや誤検知の影響が少ない機能から有効にし、最終的にアクティブモードに移行して強化することをお勧めします。ウェブサイトの特徴・仕様がわかり、動作影響が少ないと判断できれば初めからアクティブモードで運用することでウェブサイトを強化することができます。

この3つのモードを活用することで、WAF導入時のトラブルを回避し、効率的に導入展開していくことが可能になります。