Microsoft の Azure Content Delivery Network の Azure Web Application Firewall

  • [アーティクル]

Microsoft の Azure Content Delivery Network (CDN) の Azure Web アプリケーション ファイアウォール (WAF) では、Web コンテンツが一元的に保護されます。 WAF は、一般的な悪用や脆弱性から Web サービスを守ります。 ユーザーに対するサービスの高可用性が維持され、コンプライアンス要件を満たしやすくなります。

重要

Azure WAF on Azure CDN from Microsoft プレビューでは新規顧客の受付を終了しております。 お客様には Azure WAF on Azure Front Door を代わりにご利用いただくことをお勧めしております。 既存の CDN WAF のお客様にはプレビュー サービス レベル アグリーメントが提供されています。 特定の機能はサポート対象ではなく、機能が制限されることがあります。  詳しくは、「Microsoft Azure プレビューの追加使用条件」をご覧ください。

Azure CDN での WAF は、グローバルで一元化されたソリューションです。 デプロイされる場所は、世界中の Azure ネットワーク エッジです。 WAF により、攻撃源に近い悪意のある攻撃が、配信元に到達する前に停止されます。 パフォーマンスを損なうことなく大規模でグローバルな保護機能を利用することができます。

WAF ポリシーは、サブスクリプション内の任意の CDN エンドポイントに簡単にリンクできます。 新しいルールを数分で展開できるので、脅威のパターンの変化にすばやく対応できます。

Azure Web アプリケーション ファイアウォール

WAF のポリシーと規則

保護のために、WAF ポリシーを構成して、そのポリシーを 1 つまたは複数の CDN エンドポイントに関連付けることができます。 WAF ポリシーは、2 種類のセキュリティ規則で構成されます。

  • 作成できるカスタム規則。

  • Azure で管理される事前に構成されたルールのコレクションであるマネージド ルール セット。

両方ともある場合、マネージド規則セットの規則が処理される前に、カスタム規則が処理されます。 規則は、一致条件、優先順位、およびアクションで構成されます。 サポートされているアクションの種類は次のとおりです: "許可"、"ブロック"、"ログ"、"リダイレクト"。 マネージド規則とカスタム規則を組み合わせることで、特定のアプリケーション保護要件を満たす完全にカスタマイズされたポリシーを作成することができます。

ポリシー内の規則は、優先順位に従って処理されます。 優先順位は、規則の処理順序を定義する一意の数値です。 数値が小さいほど高い優先順位を表し、大きい数値の規則より前に評価されます。 規則が一致すると、規則で定義されている対応するアクションが要求に対して適用されます。 このような一致が処理された後、優先順位の低い規則はそれ以上処理されません。

Azure CDN でホストされている Web アプリケーションには、一度に 1 つの WAF ポリシーのみを関連付けることができます。 ただし、WAF ポリシーが関連付けられていない CDN エンドポイントを使用することもできます。 WAF ポリシーが存在する場合は、世界中のセキュリティ ポリシーで一貫性が保たれるよう、すべてのエッジの場所にポリシーがレプリケートされます。

WAF のモード

WAF ポリシーは、次の 2 つのモードで実行するように構成できます。

  • 検出モード:検出モードで実行されている WAF では、監視以外の他のアクションは実施されず、要求とそれに一致した WAF ルールが WAF ログに記録されます。 CDN では、診断のログ記録を有効にすることができます。 ポータルを使用しているときに、 [診断] セクションに移動します。

  • 防止モード:防止モードの WAF は、要求が規則に一致すると指定されたアクションを実行します。 一致が見つかった場合、それより優先順位が低い規則は評価されません。 一致した要求は、WAF ログにも記録されます。

WAF のアクション

要求が規則の条件に一致する場合は、次のいずれかのアクションを選択できます。

  • 許可: 要求は WAF を通過し、バックエンドに転送されます。 それより優先順位の低い規則によって、この要求をブロックすることはできません。
  • ブロック: 要求はブロックされ、WAF はバックエンドに要求を転送せず、クライアントに応答を送信します。
  • "ログ": 要求は WAF ログに記録され、WAF によって優先順位の低い規則の評価が続行されます。
  • リダイレクト:WAF は、指定された URI に要求をリダイレクトします。 指定される URI は、ポリシー レベルの設定です。 いったん構成すると、"リダイレクト" アクションと一致するすべての要求が、その URI に送信されます。

WAF の規則

WAF ポリシーは、次の 2 種類のセキュリティ規則で構成できます。

  • "カスタム ルール": 自分で作成できるルール。
  • マネージド ルール セット: 有効にすることができる、Azure で管理される事前に構成された一連のルール。

カスタム規則

カスタム規則には、一致規則とレート制御規則を含めることができます。

次のカスタム一致規則を構成できます。

  • "IP 許可リストとブロックリスト": クライアント IP アドレスのリストまたは IP アドレス範囲に基づいて Web アプリケーションへのアクセスを制御することができます。 IPV4 と IPV6 の両方のアドレス タイプがサポートされています。 IP リスト ルールでは、WAF に示される SocketAddress ではなく、X-Forwarded-For 要求ヘッダーに含まれる RemoteAddress IP が使用されます。 IP リストを、RemoteAddress IP がリスト内の IP と一致する要求をブロックまたは許可するように設定することができます。 WAF に示されるソース IP アドレス (ユーザーがプロキシの背後にいる場合はプロキシ サーバー アドレスなど) に対する要求をブロックする必要がある場合は、Azure Front Door Standard レベルまたは Premium レベルを使用する必要があります。 詳しくは、「Azure Front Door 用の Web アプリケーション ファイアウォールで IP 制限規則を構成する」をご覧ください。

  • "地理ベースのアクセス制御":クライアントの IP アドレスに関連付けられている国番号に基づいて Web アプリケーションへのアクセスを制御することができます。

  • "HTTP パラメーター ベースのアクセス制御":HTTP/HTTPS 要求パラメーターに含まれる文字列の一致を規則の基準にすることができます (クエリ文字列、POST 引数、要求 URI、要求ヘッダー、要求本文など)。

  • "要求メソッド ベースのアクセス制御":要求の HTTP 要求メソッドを規則の基準にします (GET、PUT、HEAD など)。

  • "サイズ制約":クエリ文字列、URI、要求本文など、要求の特定の部分の長さを規則の基準にすることができます。

レート制御規則では、任意のクライアント IP アドレスからの異常なトラフィックが制限されます。

  • "レート制限規則":1 分間に許可されるクライアント IP アドレスからの Web 要求の数に、しきい値を構成することができます。 この規則は、クライアントの IP アドレスからのすべての要求を許可またはブロックする点が、IP リストに基づく許可または禁止のカスタム規則と異なります。 詳細なレート制御については、レート制限を、HTTP(S) パラメーター一致などの他の一致条件と組み合わせることができます。

Azure で管理される規則セット

Azure で管理される規則セットでは、一般的なセキュリティ脅威のセットに対する保護をデプロイする簡単な方法が提供されます。 Azure がこれらのルール セットを管理するため、ルールは、新しい攻撃シグネチャから保護するために必要に応じて更新されます。 Azure で管理される既定の規則セットには、次の脅威カテゴリに対する規則が含まれます。

  • クロスサイト スクリプティング
  • Java 攻撃
  • ローカル ファイル インクルージョン
  • PHP インジェクション攻撃
  • リモート コマンド実行
  • リモート ファイル インクルージョン
  • セッション固定
  • SQL インジェクションからの保護
  • プロトコル攻撃者

既定の規則セットのバージョン番号は、新しい攻撃シグネチャが規則セットに追加されると増分されます。 WAF ポリシーの "検出" モードでは、既定の規則セットが既定で有効になります。 ご自分のアプリケーション要件に合わせて、既定の規則セット内の規則を個別に有効または無効にすることができます。 また、規則ごとに特定のアクション (許可/ブロック/リダイレクト/ログ) を設定することもできます。 管理される既定の規則セットの既定のアクションは、"ブロック" です。

カスタム規則は常に、既定の規則セット内の規則が評価される前に適用されます。 要求がカスタム規則に一致した場合、対応する規則のアクションが適用されます。 要求はブロックされるか、バックエンドに渡されます。 他のカスタム規則や既定の規則セット内の規則は処理されません。 既定の規則セットを WAF ポリシーから削除することもできます。

構成

どの種類の WAF 規則も、Azure portal、REST API、Azure Resource Manager テンプレート、Azure PowerShell を使用して構成、デプロイすることができます。

監視

CDN での WAF の監視は、Azure Monitor と統合されており、アラートを追跡し、トラフィックの傾向を簡単に監視できます。

次のステップ