パブクラ上のアプリ、どう守る?waf先進事例から学ぶ、最新可視化・セキュリティ機能の動向 ·...
TRANSCRIPT
2018年5月31日
•
•
•
•
※プラス、お楽しみクイズ企画開催!是非ご参加下さい!
67
%の増加となる。」42
つまり敵は競合他社ではなく、外から来る、そしてその破壊はすぐそこまで来ていると。外から壊される前に、我々自身がデジタル変革をして、業界を変えていかなえればいけない。
Source :デジタル化、自動運転時代の保険…「保険の先」が見据える未来 SOMPOホールディングス楢崎浩一CDOに訊く
https://response.jp/article/2017/05/23/295069_3.html
適切なユーザ
ブルートフォース攻撃を始めとしたL7を狙った各種攻撃の防御
パブリッククラウド上のアプリ
クラウドベースのWAFサービス
自社データセンタ内のアプリ
攻撃者
Security Operation Center
F5 Silverline Cloud
オンプレWAF
F5 SOC (Security Operation Center)がブルートフォース向けの処
置を即時実施
そもそも、いつの間にアプリがそんなトコに上がってんだ?
• IPアドレスやTCP/UDPポート番号等
• オペレーティングシステムの脆弱性を悪用する攻撃、ミドルウェアへの攻撃等
•
• Webアプリケーションへの攻撃
FirewallはNetworkを守る
IPSはサーバシステムを守る
WAFはWebアプリケーションを守る
• 不正ログイン系
• 脆弱性系
• サービス停止系
セキュリティ脅威 Firewall IPS WAF
ファイル/ディレクトリ探索 × ▲ ●
バッファオーバーフロー攻撃 ▲ ▲ ●
クロスサイトスクリプティング × ▲ ●
SQLインジェクション × ▲ ●
OSコマンドインジェクション × ▲ ●
Cookieポイズニング × × ●
パラメータ改ざん × × ●
Webスクラッピング × × ●
レイヤ7DoS攻撃 × × ●
ブルートフォースログイン攻撃 × × ●
事実!7割の回答者が
アプリケーションセキュリティの重要性を認知。
しかし!4割近くがWAFで守るのは全てのアプリのうち
「25%以下」と回答。
Q1.御社のIT基盤の状況は? Q2.御社のアプリケーション(ウェブ、サービス)の重要度は?
Q3. WAFの利用動向は、、、?
23%
33%
45%
全く外部脅威を感じていません。攻撃受けた事
はないです。
攻撃を明らかに受けていて、被害も出てます。
問題点はあるようだが、何が分からないのかが
分からない。
48%
25%
27%
事業にクリティカルです。
落ちてもそんなに困らないです。
情シストップは大騒ぎですが、その他大勢はあま
り気にしていない様子です。
13%
24%
9%
41%
13%
もう使ってます。フルに活用しています。
導入済みですが、実際にブロックしているのか
疑問。
問題点はあるが、気付かないふりしてます。
詳細はよく分かりません。入れる予定はありま
せん。
その他
そうなんですが、自身でセキュリティルールを作成・管理する必要がありまして・・・
AWS上に標準でWAFがありますよね?
セキュリティ対策毎にコンディション、フィルター、ルールなどを作成する必要があります。。。
AWS Managed WAF, コスト効率, 基本的なWebアタック保護
+OWASPに準拠した保護対策、CVE脆弱性対
応、ボット対策
L7DDoS対策、アプリケーション可視化、高度なボット対策、APIセキュリティ、リスク
マネジメント、詳細ログ
AWS WAF +
F5 Managed Rules F5 Web Application Firewall
個別コンディションやルール作成不要!ルール作成時にSubscribe RuleからF5を選択するだけで構成可能
攻撃を検知/ブロックした際は、AWS WAFコンソールから詳細ログを確認可能
攻撃者の-ソースIPアドレス、国情報
-ターゲットURI-簡易リクエスト内容
-ホスト名-User-Agent
等
- F5 Managed Rules for AWS WAF -
F5 Web Exploits OWASP Rules F5 Rules for Common
Vulnerabilities and Exposure
(CVE)
F5 Bot Protection Rules
汎用的なWeb Application攻撃を防ぎたい
-SQLインジェクション-クロスサイトスクリプティング-コマンドインジェクション-パストラバーサル等
-Apache, IIS
-Apache Struts
-Bash
-Elasticsearch
-JBoss, JSP, Java
-MySQL,Node.js, WordPress
ミドルウェア脆弱性を防ぎたい
ボット不正アクセスを防ぎたい
-脆弱性スキャナー-Webスクレイパー-DDoSツール-スパムツール
1. CEO
2. CFO
3. CDO
株式会社ネットプライステクノロジー本部マネージャー高橋啓輔氏
Source : 株式会社ネットプライス長年の悲願だったWAFを導入し外部からの攻撃を可視化、攻撃由来のアクセスを遮断することでWebサーバの負荷も軽減https://f5.com/jp/solutions/customer-stories/cs-netprice-27484
株式会社ネットプライステクノロジー本部マネージャー高橋啓輔氏
システム構成概要
クイズ2何かにつけて「大変」と話題沸騰のWAFポリシー管理。さて一回目のチューニングで何割の誤検知
を潰せると議論の中で結論付けられた?
1.早割2.九割3.学割
2017年はAPI元年
Source : マネーフォワード社公式ブログよりhttps://moneyforward.com/mf_blog/20170203/jpmintu/
Source : https://www.pymnts.com/smbs/2017/jpmorgan-chase-ondeck-extend-digital-banking-lending-partnership-for-smbs/
事例
Datacenter
参照先DB
事例
Datacenter
参照先DB
WAFの導入+チューニングにより適切なトラフィックを選別、適宜対応できるようになり、インフラコストもコントロール可能に。
ADCやWAF、パブクラならではの新発想。
WAFやADCを「トラフィック量の最適化」として活用する、という新しい視点。
Network Floods
不正なリクエスト
スキャナー、ボット
既知の悪意あるホストからのアクセス
Workflow Enforcement
WAF
1. API
2. FBI
3. NNI
ONE MORE THING…….
高速化(起動時間短縮)
軽量化(コンピューティングリソース消費量削減)
自由自在なインスタンスの展開と縮退
ADCとWAFをアプリごとに分散配置!
• 継続的にアプリケーションを配信および反復開発するDevOps向けの構成を促進
App N – 200M
App 2 – 200M
App 1 – 25M
ADCとWAFを中央集権的な配置!
App N – 200M
App 2 – 200M
App 1 – 25M
ADC
WAF+
ADC
WAF+
ADC
WAF+
ADC
WAF+
総括:✓ DX時代、アプリケーションがデジタル変革の要になる!どうやって守るか、とセットで考えましょう!✓ 適材適所なセキュリティ対策は非常に難しい、、、本日の事例や情報が一助になれば幸いです。✓ WAFの導入にあたってのキーポイントを分かりやすく紹介したWEB漫画もぜひチェックしてみて下さい!
あなたの会社のWebセキュリティは本当に大丈夫?情報漏洩は経営課題https://interact.f5.com/jp-solutions-web-security.html
・NTT-ATのF5製品専任エンジニアが全面サポートします。(例:トラブル時のAWSへの問い合わせ内容をお客様に代わって作成など)
・構築時から運用まで、幅広くご利用頂けます。・チケット制のため、無駄がありません。
AWS上でBIG-IP VE版従量課金モデルをご利用のユーザー様向け
テクニカルQAサポートチケットサービス
お客様NTT-AT
詳細は当会場【慶雲 B7ブース】まで!