WEBアプリケーションとAPI保護(WAAP)とは何か #
WebアプリケーションとAPI保護(WAAP)は、 RELIANOID セキュリティ製品、Web アプリケーション ファイアウォール (WAF)。WAAP は従来の WAF と同じ機能を提供しますが、Web アプリケーションだけでなく API も保護します。
クラウド サービスと SaaS (Software as a Service) の進化により、さまざまな環境を統合する必要性から API の使用が進み、これらすべてのサービスをオーケストレーションするための最適なソリューションが提供されるようになりました。この機能により、WAAP は WAF よりも高度になり、パブリック サービスを含むネットワークのエッジに WAAP を展開したり、ADC と同じ環境で構成したりできるようになります。
そこで、 RELIANOID ADC と WAAP が連携して動作し、アプリケーションの配信前に Web アプリケーションと API を保護します。
WAAPが必要な理由 #
インターネットでは API や Web アプリケーションに簡単にアクセスできるため、機密データが公開されることになり、セキュリティが大きな懸念事項となります。攻撃者はセキュリティ侵害を引き起こして個人情報を取得する可能性があります。従来の Web セキュリティでは次のタスクを処理できないため、WAAP が必要になります。
署名のマッチングだけではアプリケーションのセキュリティには不十分です。
Web アプリケーションと API のコンテンツは継続的に変更されます。そのため、コンテンツの署名を取得するのは困難です。Web で公開されるコンテンツと API は変更され続けるため、システムは常に学習する必要があります。
送信元 IP または宛先ポートに基づいてトラフィックをブロックするだけでは不十分です。
従来のファイアウォールは IP とポートをブロックしますが、この情報は通常暗号化されています。コンテンツを復号化し、分析し、再暗号化するメカニズムが不可欠です。WAAP は TLS メカニズムを使用しているため、より高度なセキュリティを提供できます。
HTTP(S) トラフィックは現在最も多く使用されており、分析が複雑になる可能性があります。ほとんどの Web トラフィックは OSI モデルのレイヤー 7 プロトコル HTTP(S) に向けられており、80 年代に定義された HTTP プロトコルの動作から現在使用されている最新のプロトコルまで複雑になっています。このため、セキュリティ ソリューションでは IPS または IDS メカニズムを使用するだけでなく、OSI モデルの上位レイヤーである HTTP や HTTPS などのレイヤー 7 プロトコルに対する攻撃から保護する必要があります。
WAAPが提供できる機能のうち、従来のWAFでは提供できない機能はどれですか? #
WAAP は、従来の WAF では提供できない優れた機能を提供します。
自動化と学習: WAAP は、ADC 内に統合されたアクティブな要素です。このセキュリティ機能は、DoS 検出、ボット検出、プロトコル保護、強制などのメカニズムを使用して情報を受信し、継続的に学習します。WAAP エンジンには、INPUT データを受信するためのチャネルが必要です。WAAP エンジンは、常に新しい情報を受信し、受信した情報を処理および検査されたデータと比較します。
安全な API とマイクロサービス: エンジニアは日常的に API とマイクロサービスを構築してパブリック サービスを提供しています。WAAP は、公開される情報を考慮して、これらのエンドポイントを保護する必要があります。
Relianoid が WAAP としてどのように機能するか #
RELIANOID ADC には、IPDS (侵入防止および検知システム) と呼ばれるサイバーセキュリティ モジュールが含まれています。このモジュールは、WAAP 機能、自動化、および WEB と API の学習を提供します。Relianoid には relianoid-ipds と呼ばれるパッケージが含まれており、このパッケージは毎日更新されます。このパッケージには、Web アプリケーションと API 保護のための 4 つ以上のメカニズムがあります。そのプロパティは次のとおりです。
ブロックリストルール #
ブロックリストは、以下で説明するように、地理的位置とさまざまなソースに基づいてトラフィックをグループ化するセキュリティ メカニズムの一部です。
ジオ_*: これらのブロックリストには、国に基づいた IP とネットワークが含まれます。
TOR_ノード: このブロックリストは TOR プロジェクトから取得されます。ここでは、インターネット上で TOR トラフィックが公開されているソース IP を見つけることができます。
ウェブエクスプロイト: ソース リストのメンバーは Web エクスプロイトとして特定されています。これらの攻撃者は、脆弱性を見つけるために Web サーバーに対して複数のリクエストを実行しようとしました。
スパイウェア: 含まれるソースは、悪意のあるスパイウェアおよびアドウェアの IP アドレス範囲のリストです。
代理: TOR およびその他のオープン プロキシが含まれます。
メールスパマー: 含まれるソースは、スパムの送信が検出された IP に基づくリストです。
悪い仲間: 含まれているソースは、P2P での悪質な行為の報告に基づいたリストです。
CI陸軍: ここに含まれるソースは、CIArmy プロジェクトによって提供されています。このプロジェクトは、インターネット上の一連のセンチネルに基づいてトラフィックを分析することによって取得されたデータ ソースを提供します。
ボゴン: ここに含まれるソースは、インターネットによって予約されているがまだ割り当てられていない、または委任されていない IP アドレス空間の領域からのものであると主張しています。
DOSルール #
サービス拒否の緩和は、大量の不正な要求によってサービスが使用不能になる攻撃の影響を保護または軽減することを目的とした一連のルールです。 RELIANOID IPDS エンジンには、Web アプリケーションおよび API に対する DoS 保護を実行するためのさまざまなテクニックが含まれています。
これらのルールは以下のように説明されています。
偽の TCP フラグ:
どの TCP トラフィックでも、TCP パケットは既知のフローに従います。BOGUS TCP 攻撃とは、TCP フローが予期される TCP パスに従わない攻撃です。たとえば、パケットは SYN-ACK パスではなく、予期しない SYN-FIN パスに従う場合があります。 RELIANOID TCPフローを監視および制御します。予期しないパケットを受信した場合、 RELIANOID 落とします。
ソース IP ごとの合計接続制限:
RELIANOID 1秒あたりのリクエスト数に基づいてソース制限を適用し、ソースIPあたりの制限に達すると、 RELIANOID 着信パケットをドロップします。
1秒あたりのRSTパケットの制限:
これは一般的な DoS 攻撃であり、攻撃者は TCP ソケットを開こうとし、TCP 応答パケットを受信すると、TCP RST パケットをホストに送信します。
1秒あたりの接続制限:
RELIANOID 1秒あたりのリクエスト数に基づいて宛先制限を適用します。宛先IPあたりの制限に達した場合、 RELIANOID 着信パケットをドロップします。
RBLルール #
リアルタイム ブラックホール リストは、メール サーバーがスパマーから保護するために使用するセキュリティ システムです。メール サーバーが接続を受信すると、ソース IP をキャプチャし、既知の DNS サーバーに対して解決を試みます。DNS 解決が機能すると、ソース IP アドレスが攻撃者として検出されます。
RELIANOID このセキュリティ メカニズムは進化しており、特定のフロー内の任意のソース IP をキャプチャし、DNS ゾーンに対してソース IP を解決できるようになりました。この目的のために、最も堅牢な RBL ドメインのコレクションが選択されました。
WAFルール #
RELIANOID HTTP(S) トラフィックを 2 つの方法で検査します。
1 – OWASPルールセット(Open Web Application Security Project)に基づく定義済みルールを使用する。 RELIANOID 6 は OWASP コア ルール セット バージョン 4 に基づいています。これらのルールは毎日更新されます。OWASP ルール セットに変更があった場合、次の IPDS パッケージ更新にその変更が含まれます。
2 – サードパーティベンダーから取得したルール、またはお客様が設計したカスタムルールを使用します。 RELIANOID ModSecurity エンジン サポートを使用して、サードパーティのルールセットを使用するか、ディセクタ HTTP 言語に基づいて独自のルールを作成します。
デフォルトでは、 RELIANOID IPDS には、次の攻撃に対するセキュリティ パケットが含まれています。
SQLインジェクション(SQLi)
クロスサイトスクリプティング(XSS)
ローカル ファイル インクルード (LFI)
リモート ファイル インクルード (RFI)
PHP/Java/Ruby/Perl コードインジェクション
砲弾ショック
Unix シェル インジェクション
セッション固定
スクリプト/スキャナー/ボット検出
ルールセットは RELIANOID 6 含まれるもの:
リクエスト-905-共通例外
これらのルールは、発生する可能性のある一般的な誤検知を除去するための例外メカニズムとして使用されます。
リクエスト-911-メソッド-強制
許可されるリクエストメソッド。
リクエスト-913-スキャナー検出
クローラー、ボット、スクリプトなどのスキャナーをチェックします。
リクエスト-920-プロトコル-強制
HTTP リクエストを検証し、多数のアプリケーション層攻撃を排除します。
リクエスト-921-プロトコル-攻撃
プロトコル攻撃をチェックします。
リクエスト-930-アプリケーション攻撃-LFI
ローカル ファイル インクルード (LFI) を使用してアプリケーション攻撃をチェックします。
リクエスト-931-アプリケーション攻撃-RFI
リモート ファイル インクルード (RFI) を使用してアプリケーション攻撃をチェックします。
リクエスト-932-アプリケーション攻撃-RCE
リモート コード実行 (RCE) を使用したアプリケーション攻撃をチェックします。
リクエスト-933-アプリケーション攻撃-PHP
PHP を使用してアプリケーション攻撃をチェックします。
リクエスト-934-アプリケーション攻撃-一般
Node.js、Ruby、Perl を使用してアプリケーション攻撃をチェックします。
リクエスト-941-アプリケーション攻撃-XSS
XSS を使用したアプリケーション攻撃をチェックします。
リクエスト-942-アプリケーション攻撃-SQLI
Sql インジェクションを使用したアプリケーション攻撃をチェックします。
リクエスト-943-アプリケーション攻撃セッション修正
セッション固定を使用したアプリケーション攻撃をチェックします。
リクエスト-944-アプリケーション攻撃-JAVA。
Java を使用してアプリケーション攻撃をチェックします。
IPDSエンジンは、WebアプリケーションとAPI保護のための脅威インテリジェンスメカニズムです。エンジンのコアとして機能するrelianoid-ipdsパケットを通じて毎日更新され、このエンジンを最新の状態に保っています。 RELIANOID ルールと顧客によってカスタマイズされたもの。
このrelianoid-ipdsコアルールセットは、サードパーティのデータのクロス、センチネルログの分析、個人情報に対するビッグデータ分析など、さまざまなメカニズムを使用してこれらのセキュリティルールを作成します。 RELIANOID IPDS コア ルールセットには、一部のソース IP またはルールが誤検知として含まれています。弊社までご連絡いただければ、できるだけ早く問題を修正させていただきます。
