WAFとファイアウォールの違いは何ですか?
ファイアウォールは、ネットワーク上の送受信トラフィックをフィルタリングするファームウェアの総称です。 この広い定義には、提供する保護の種類が異なるいくつかのカテゴリがあります。 これらには、ステートフル インスペクション、パケット フィルタリング、プロキシ サーバー、次世代ファイアウォール (NGFW) が含まれます。
WAFは別のタイプのファイアウォールであり、データパケットをフィルタリングする方法によって区別されます。 WAFは、ネットワークのアプリケーション層を検査し、他のタイプのファイアウォールには見えない多くの攻撃を防ぐことができます。 たとえば、SQLインジェクション攻撃は、SQLクエリなどのアプリケーション要求のペイロードを検査しないため、通常のファイアウォールでは検出されません。
特定のIP範囲や地域などからのトラフィックをブロックできる 従来のファイアウォール とは異なり、WAFでは、悪意があると思われる特定の種類のアプリケーションの動作を除外するルールを定義できます。
Webアプリケーションファイアウォールの種類
Webアプリケーションサーバーには、大きく分けて「ネットワーク WAF」「ホスト型WAF」「クラウドWAF」の3種類があります。
アプライアンス WAF
通常、ハードウェアベースで、専用機器を使用してローカルにインストールでき、レイテンシーを低減するためにフィールドアプリケーションにできるだけ近い場所にインストールできます。
ほとんどのハードウェアベースのWAFでは、デバイス間でルールと設定をコピーして、企業ネットワークでの大規模なデプロイメントをサポートできます。 ネットワークWAFの欠点は、多額の先行投資と継続的なメンテナンスコストが必要になることです。
ハードウェアベースのWAFに代わる方法として、WAFを仮想アプライアンスとして実行し、ローカルで(多くの場合、ネットワーク機能仮想化(NVF)テクノロジーを使用する)、または事前構成されたクラウドマシンイメージをデプロイしてパブリッククラウドで実行する方法があります。 これにより、設備投資は削減されますが、メンテナンスのオーバーヘッドが発生します。
ホストベースのWAF
アプリケーションコードに完全に統合できます。 このデプロイメント モデルの利点には、コストの大幅な削減とカスタマイズの改善が含まれます。 ただし、ホストベースのWAFはデプロイがより複雑で、特定のライブラリをアプリケーションサーバーにインストールする必要があり、効果的に実行するためにサーバーリソースに依存しています。 また、WAFはWebアプリケーションの依存関係となり、開発ライフサイクル全体を通じて管理する必要があります。
クラウド WAF
これは、先行投資や迅速なデプロイメントなしでターンキーWAFソリューションを提供する費用対効果の高いオプションです。 クラウド WAFソリューションは通常、サブスクリプションベースであり、単純なDNSまたはプロキシ構成のみで機能を開始できます。 クラウドベースのWAFは、常に更新される脅威インテリジェンスにアクセスでき、セキュリティルールの定義や攻撃発生時の対応に役立つマネージドサービスを提供する場合もあります。
クラウドWAFの課題は、すべてのトラフィックをWebアプリケーションにルーティングすることをプロバイダーに信頼する必要があることです。 WAFプロバイダーがダウンすると、Webサイトもダウンし、パフォーマンスが悪いとWebサイトのパフォーマンスが低下します。 そのため、ほとんどのクラウドWAFプロバイダーは、WAF、CDN、DDoS保護を統合したソリューションを提供し、アップタイムとレイテンシーの最小化を実現しています。
Webアプリケーションファイアウォールの仕組み
Web アプリケーション ファイアウォールには、いくつかの可能なデプロイメント モデルがあります。
- ハードウェアまたは仮想アプライアンス
- Webアプリケーションと同じWebサーバ上で動作するソフトウェア
- クラウド型サービス
これらの各デプロイメントモデルでは、WAFは常にWebアプリケーションの前に配置され、アプリケーションとインターネット間のすべてのトラフィックを傍受します。
ホワイトリストとブラックリスト
WAFは、既知の正常なアプリケーション・トラフィックのみを許可するホワイトリスト・モデル、または既知の攻撃パターンまたはセキュリティ・ルールに一致するトラフィックをブロックするブラックリスト・モデルで動作します。
WAFはHTTP/Sリクエストを傍受して検査し、悪意がないことを確認した場合にのみ通過させます。 同様に、サーバーの応答を検査し、セッションハイジャック、バッファオーバーフロー、XSS、コマンド&コントロール(C&C)通信、 サービス拒否(DoS)など、Webアプリケーション攻撃の既知のパターンをチェックします。
WAFの機能
WAFは通常、次の機能を提供します。
- 攻撃シグネチャ データベース:これらは、悪意のあるトラフィックを識別するために使用できるパターンです。 これには、既知の悪意のあるIP、リクエストの種類、異常なサーバー応答などが含まれます。 これまでWAFは主に攻撃パターンのデータベースに依存していましたが、この手法は新しい未知の攻撃に対してはほとんど効果がありません。
- トラフィックパターンのAI/ML分析:最新のWAFは、人工知能アルゴリズムを使用してトラフィックの振る舞い分析を実行します。特定のタイプのトラフィックのベースラインを識別し、攻撃を表す可能性のある異常をキャプチャします。 これにより、既知の悪意のあるパターンと一致しない攻撃でも識別できます。
- アプリケーション・プロファイリング - WAFは、URL、一般的なリクエスト、許可されるデータ型と値など、Webアプリケーション構造を分析します。 これは、異常な要求や悪意のある要求を識別し、それらをブロックするのに役立ちます。
- カスタマイズエンジン - WAFを使用すると、オペレーターは組織またはWebアプリケーションに固有のセキュリティルールを定義し、それらをアプリケーショントラフィックに即座に適用できます。 これは、WAF の動作をカスタマイズし、正当なトラフィックのブロックを回避するために重要です。
- 相関エンジン:受信トラフィックを分析し、既知の攻撃シグネチャ、AI/ML分析、アプリケーションプロファイリング、カスタムルールを使用してトリアージを行い、ブロックすべきかどうかを判断します。
- DDoS攻撃対策:WAFは通常、クラウドベースの分散型DDoS(Distributed Denial as a Service)対策プラットフォームと統合されます。WAFによってDDoS攻撃が検出されると、リクエストをブロックし、大規模なボリューム攻撃に耐えられるようにスケールアップできるDDoS保護システムにトラフィックを切り替えることができます。
- コンテンツ配信ネットワーク (CDN) — WAF はネットワーク エッジにデプロイされるため、クラウドベースの WAF は、Web サイトの読み込み時間を改善するために Web サイトをキャッシュする CDN を提供する場合もあります。 WAF/CDNは、世界中に分散した複数のPoP(Point of Presence)に展開され、Webサイトは最寄りのPoPを介してユーザーに提供されます。
ルールベースのWebアプリケーションファイアウォール(WAF)のデメリット
WAFはエッジにデプロイされ、悪意が疑われるトラフィックのフィルタリングとブロックを試みます。 従来、このフィルタリングは、WAFベンダーによって標準で提供されるルール、またはWAFを展開する組織によってカスタマイズされたルールを使用して実行されていました。
ルールベースのWAFの問題は、非常に高度なメンテナンスが必要になることです。 組織は、特定のアプリケーションパターンに一致するルールを入念に定義する必要がありますが、新しいアプリケーションが採用されたり、アプリケーションが進化したりすると、時間の経過とともに変更される可能性があります。 また、変化する脅威ベクトルに対処することが難しくなり、新しい攻撃には新しいルールが必要になる可能性があります。
もう一つの課題は、マイクロサービス環境でWAFを運用することです。 大規模なマイクロサービス アプリケーションでは、マイクロサービスの新しいバージョンが 1 日に複数回リリースされます。 WAFをデプロイし、各コンポーネントのルールセットを更新するのは現実的ではありません。 つまり、多くの場合、マイクロサービスはWAFによって保護されないままになります。
チェック・ポイントのWebアプリケーションおよびAPI保護
AppSecは常に課題を抱えていましたが、開発のスピードがかつてないほど速くなっているため、WAFの大規模なメンテナンスや正当なユーザーのブロックを経ずにアプリケーションを保護することはほぼ不可能になっています。
チェック・ポイントの CloudGuard AppSec は、AIを使用して、オーバーヘッドを抑えながら、より優れたセキュリティカバレッジをお客様に提供します。
誤検知を阻止し、DevOpsと同等の速さでアプリケーションとAPIを保護し、正確な防止、ゼロポリシー管理、あらゆる環境での自動デプロイメントを提供します。
今すぐ無料トライアルを開始して、アプリを保護しましょう。
Feedback