ロードバランサの活用(4) 「ネットワークファイアウォール」と「Webアプリケーションファイアウォール」その2

03_S_02

前回、DDoS攻撃は
「回線の帯域幅をパンクさせるタイプの攻撃」「アプリケーションサイドへのDDoS攻撃」
の2種類があると紹介しました。

今回はこの中でも「アプリケーションサイドへのDDoS攻撃」に焦点をあてた対策を紹介したいと思います。

「ネットワークファイアウォール」と「Webアプリケーションファイアウォール」

アプリケーションサイドの対策はさらに2つに分けることができます。
「ネットワークレイヤー」「アプリケーションレイヤー」の2つで、それぞれのレイヤーで対策が必要となります。

ネットワークレイヤーの防御を主に担うのが「ネットワークファイアウォール」で、
一般的に「ファイアウォール」と言うと、こちらの製品カテゴリを指します。
基本的な動作は、IPアドレスやTCP/UDPポート番号の組み合わせをベースに、
通信の通過を許可・禁止することで、不正なアクセスをシャットアウトする仕組みです。

対してアプリケーションレイヤーの防御を担うのが「Webアプリケーションファイアウォール」で、
WAF(Web Application Firewall)と呼ばれるカテゴリの製品です。
Webアプリケーションのフロントエンドに位置し、
ネットワーク層より上位のアプリケーション層プロトコルの情報を基に、不正なトラフィックを検知、遮断する製品です。

一般的なネットワークファイアウォールとは別の領域を防御しており、
HTTPプロトコルやアプリケーションペイロードの中身まで検査、遮断している。
技術的な動作もまったく別物であり、設計/構築/運用に必要なノウハウもまったく別物ですので注意が必要です。

WAFはSQLインジェクションをはじめとするWebアプリケーションの脆弱性を突く攻撃にはもちろん有効ですが、
最近増加傾向にある、不正に入手したIDとパスワードを使ってシステムへの侵入を試みる「リスト型アカウントハッキング」への対策としても有効です。

従来型のファイアウォールではパフォーマンス不足が課題

DDoS攻撃に対する守りを固めるには、上で紹介した「ネットワークファイアウォール」と「WAF」の2つの対策を行い、
あらゆるタイプの攻撃に備えることが重要となります。
多くの場合、これらの対策はそれぞれ別々の製品が担うことになりますが、
セキュリティ機器やロードバランサなどのネットワーク機器をネットワーク上に連結し、
それぞれの製品でそれぞれ処理を行うと、処理のオーバーヘッドが大きくなり、パフォーマンス劣化を引き起こします。

また、機器が増えれば増えるほど初期コストや運用管理コストが増えてしまうなどの課題も引き起こしてしまいます。
ここで、ロードバランサに機能を追加したADC(Application Delivery Controller)のメリットが生まれます。
ADCは、ロードバランサとしての機能に加え、ネットワークファイアウォールとWAFの機能も内包しています。
1つの機器の中で対策が一体となっており、「ネットワークファイアウォール」と「WAF」のセキュリティ処理が一度で処理されるため、
余分なオーバーヘッドがなく、極めて高いパフォーマンスを発揮できますし、機器の数を削減できるのでコストメリットも大きくなります。