ロードバランサの活用(5)WAF

03_S_02

前回は、DDoS攻撃への対策に関しまして、
「アプリケーションサイドへのDDoS攻撃」に焦点をあてた対策ということで、
ネットワークファイアウォールの機能について詳しく取り上げましたが、
今回はもう1つの要であるWAFの機能について詳しく紹介したいと思います。

WAFとは

WAF(Web Application Firewall)は、アプリケーションの手前に設置されるセキュリティアプライアンスです。
アプリケーション層のプロトコル(HTTPプロトコルの内容やアプリケーションペイロードデータ)や、セッション管理状況を精査することで、
不正ログインを狙う攻撃や、Webアプリケーションの脆弱性を狙った攻撃などからサイトを守るものです。
(防御できる攻撃例:SQLインジェクション、クロスサイトスクリプティング、パスワードリスト攻撃)

WAFの種類と特徴

・アプライアンス型WAF
ハードウェアアプライアンスをゲートウェイに設置する形のWAFです。
設置方法はネットワークに直列で接続する「インライン型」とスイッチなどのミラーリングポートに接続する「ミラー型」があります。
導入時にはアプライアンスを購入して設置する必要があるため、初期費用が高価になるほかに、
脆弱性への対応やチューニングといった運用も自社で行う必要があります。

・ソフトウェア型WAF
サーバを構築し、インストールする形のWAFです。
導入時にはサーバとソフトウェアを構築する必要があるため、これも初期費用が高価になります。
また、脆弱性への対応やチューニングといった運用も自社で行う必要があるため、その点はアプライアンス型と同様です。

・クラウド型WAF
クラウド上にある仮想アプライアンスとしてのWAFです。
導入時には申し込みを行ってネットワーク設定を一部変更することで利用できますので、
サーバの構築や機器の購入が不要となり、初期費用を抑え、安価な月額料金で利用できるのが特徴です。
また、運用はサービス提供側が行うため、脆弱性への対応やチューニングといった作業も不要です。

ADCは優れたパフォーマンスと管理性を実現

ADC(Application Delivery Controller)は、ロードバランサとしての機能に加え、ネットワークファイアウォールとWAFの機能も内包しています。
1つの機器の中で対策が一体となっており、「ネットワークファイアウォール」と「WAF」のセキュリティ処理が一度で処理されるため、
余分なオーバーヘッドがなく、極めて高いパフォーマンスを発揮できますし、
サーバー監視に用いる機器の数を削減できるのでコストメリットも大きくなります。