よくある質問と回答は以下のとおりです。

NSX ALB が解決しようとした従来の WAF の課題は何ですか?

お客様のアプリケーションを保護するための WAF ソリューションは次のとおりです。

  • セキュリティ:さまざまな検証方法を組み合わせて、包括的なセキュリティ レイヤー(シグネチャ、ポジティブ ルール、クライアント レピュテーション、機械学習、外れ値分析など)を提供します。

  • 自動化:現在の自動化フレームワーク(Ansible、Terraform など)のいずれかで駆動でき、SDLC (Secure Development Life Cycle) に統合できる WAF ソリューション。

  • 可観測性:トラフィック、アプリケーションの動作、およびクライアントに関する深い洞察を提供する WAF ソリューション • 使いやすさと簡素化:WAF ソリューションは、データを収集し、データから学習し、ポリシーを自動調整し、管理者がポリシーを迅速に調整するのに役立ちます。つまり、WAF ソリューションには緑色の「セキュリティを保証」ボタンがあります。

  • スケーラビリティ:同様の方法で小規模および大規模なアプリケーションに対応する WAF ソリューション。

  • パフォーマンス:リソースを最大限に活用し、それを検証するための測定値を提供する WAF ソリューション。

WAF の一部として提供される機能は何ですか?

WAF の機能は次のとおりです。

  • OWASP Top 10 の保護

  • 入力検証 - XSS、SQLi など。

  • アプリケーション学習によるポジティブ セキュリティ モデル

  • アプリケーション ロジックの欠陥に対するスクリプティング - データ スクリプトの使用

  • JSON、XML の API 保護

  • 簡素化されたポリシー定義

  • リアルタイムの詳細情報

  • 柔軟性と自動化

また、セキュリティ モジュールには、以下に示すその他の機能が含まれています。

  • アプリケーションのレート制限

  • DDoS 保護

  • L3/L4 ACL

  • L7 ルール/ポリシーなど

NSX ALB は WAF をサービスとして提供しますか?

現在、WAF(または LB)はクラウド サービスとして提供されておらず、お客様の環境に展開されています。ただし、サービスとしての提供は近い将来に計画されています。WAF(または LB)は、オンプレミス展開の点で物理 WAF に似ており、運用、スケール、パフォーマンス、および可視性に優れています。また、NSX ALB は、LB サービスの一部として WAF を含む SaaS を提供します。SaaS の詳細については、https://avinetworks.com/saas/ 参照してください。

WAF のサイジングに関する推奨事項は何ですか?

WAF のパフォーマンスとサイジングの推奨事項は、アプリケーションのタイプ、ヘッダーの数、POST と GET などに基づいています。この不十分な情報のため、平均数はサービス コアあたり 800 RPS、2 つのサービス コアで約 1600 RPS とすることをお勧めします。

WAF に対する HA 推奨事項は何ですか?

WAF ソリューションは大規模な LB/ADC サービスの一部であるため、すべての LB/WAF 展開には HA を強くお勧めします。デフォルトでは、アクティブ/アクティブ HA をサポートし、他にサポートされている HA タイプはアクティブ/スタンバイおよび N+M です。

WAF には個別のライセンスが必要ですか?

WAF ソリューションは大規模な LB/ADC サービスの一部であるため、WAF の個別のライセンスは必要ありません。ただし、SE のサイズが WAF に基づいて調整されていることを確認してください。

ポジティブ セキュリティ モデルとは何ですか?

「ポジティブ セキュリティ モデル」は、「アプリケーション固有のポリシー」とも呼ばれます。アプリケーションの動作を説明し、文字の許容範囲(および長さ)を設定することによって入力検証を提供します。入力検証の仕様が期待どおりでない場合は、ポリシー違反として報告されます。

例:product_id=[0-9]{0..63}

ポジティブ セキュリティ モデルは、「要求がどのように見えるか(部分的)」について WAF に通知する構成を記述します。

シグネチャ エンジンの役割は何ですか?

シグネチャ エンジンは、攻撃ベクトルを検索する入力パターンを観察することにより、入力検証を実行します。

例(単純な XSS):attack="><script>alert(1)</script>

「攻撃がどのように見えるか」を説明し、これを「要求はどのように見えるべきではないか」という形で表現できます。

許可リストへの登録とは何ですか?

「許可リスト」コンポーネントは、WAF が要求をチェックする必要があるかどうかを確認します。たとえば、お客様は /upload.php へのすべての POST 要求で WAF をバイパスすることを好む場合があります。

学習とは何ですか?

システムでは、学習とは「ポジティブ セキュリティ モデル」を生成するために、アプリケーションの通常の使用状況についての統計情報を収集する方法です。

WAF 処理フローとは何ですか?

WAF 処理フローは次のとおりです。

  1. まず、受信要求に対して、許可リスト ポリシーがチェックされます。一致する条件がある場合、要求はホワイトリストに登録されます。つまり、その要求の WAF 処理はオフになります。

  2. いずれの条件も一致しない場合、ポジティブ セキュリティ エンジンは、要求が学習したデータと一致しているかどうかを確認します。

  3. ポジティブ セキュリティ エンジンによって要求が不正であるとマークされた場合、その要求にはすぐにフラグを設定し、ブロックされます。

  4. ポジティブ セキュリティが要求を正当であるものとしてマークすると、要求はシグネチャ エンジンに送信され、シグネチャ エンジンは、要求の一部を有効なシグネチャと照合して検証し、攻撃ベクトルを識別します。

  5. WAF が攻撃ベクトルを見つけると、要求をブロックします。見つからない場合は、要求が渡されます。

  6. WAF が適用モードの場合、WAF は要求をブロックします。

  7. WAF が検出モードの場合、WAF は要求にフラグを設定しますが、ブロックはしません。

誤検出とは何ですか?

正当な要求であっても攻撃としてフラグが設定されることがあります。これはビジネスに影響を与え、またお客様に不安をもたらす可能性があります。

偽陰性とは何ですか?

攻撃が検出されない場合、それは偽陰性と呼ばれます。これはセキュリティには影響しますが、ビジネスには影響しません(ユーザーの認識において)。ただし、サイトは引き続き機能します。

誤検出の回避の除外とは何ですか?

除外により、シグネチャ ルールまたはルール グループの前に <IP, URL, parameter> の一致条件が追加されます。この場合、ポリシーとアプリケーション内に存在する誤検出はトリガされません。