【中国】Alibaba Cloud の WAF 機能【セキュリティ】
技術営業部の大原です。
今回は、Alibaba Cloud が提供するWAFサービス「Alibaba Cloud WAF」の特徴・機能を記載します。
※ 2021年9月時点の情報です。
Alibaba Cloud セキュリティの歴史
Alibaba Cloudでは 様々な外部のサイバー攻撃から、Alibaba Cloudのサービスを守るためセキュリティプロダクトの開発に注力しています。
そのセキュリティプロダクトの一つである Alibaba Cloud WAF(Web Application Firewall)は、Alibaba Cloudによる10年以上のセキュリティ経験に基づいて開発されたWeb攻撃防御のためのサービスであり、ビッグデータの機能を活用した高度な防御メカニズムを備えている進化型のサービスです。
Alibaba Cloud WAF のサービス概要
Alibaba Cloud WAF は Alibaba Cloud への設置だけでなく、オンプレミスやVPS・他社クラウドサーバーで稼働しているシステムに対してもDNSを切り替えるだけで設置できるため、防御対象のインフラ環境を選びません。
■ Webアプリケーション保護
● ゼロデイ攻撃防御
・24時間以内に動的に防御ルールを更新することで、速やかにリスクに対処が可能。
● Webサイトの隠蔽
・DNSを利用してトラフィックを迂回させることで、侵入者からサイトを隠蔽し保護。
● OWASP攻撃防御
・様々な防御ポリシーや検疫機能を提供し、SQLインジェクションなどの既知の攻撃も正確に判定し防御。
■ サイトアクセスコントロール
● HTTPS機能の追加
・プライベートキーファイルをアップロードするだけで、サイトにHTTPS機能を付加。
● アクセスコントロール
・多層保護により、侵入に必要となるサイトの情報収集行為を判定し遮断。
■ 精度の高いトラフィック分析
● 正確な悪意のあるアクセス判定
・ボットなど悪意のあるアクセスは正確に特定でき、ブロックされる際に評価します。
● カスタムポリシー
・必要に応じて自由に防御ルールの変更や反映が可能。
Alibaba Cloud WAF の機能(エディション別)
Alibaba Cloud WAF では、処理能力・防御機能・ケース別に応じて 4エディション が選択できます。
例えば、Professional エディションからスモールスタートし、Webアクセスの増加に合わせてエディションの変更することが可能なので、用途や状況にあわせて柔軟にスケールアップすることができます。
特徴 | 概要 | Pro Edition | Business Edition | Enterprise Edition | Exclusive Edition (submit tickets to purchase) |
ピークリクエスト率 | - | 2,000 QPS | 5,000 QPS | 10,000 QPS より高い | 5,000 QPS |
最大帯域幅 | 配信元サーバーが Alibaba Cloud にデプロイされている場合 | 50 Mbit/秒 | 100 Mbit/秒 | 200 Mbit/秒 | 100 Mbit/秒 |
配信元サーバーが Alibaba Cloud にデプロイされない場合 | 10 Mbit/秒 | 30 Mbit/秒 | 50 Mbit/秒 | 30 Mbit/秒 | |
デフォルトでサポートされる最大ドメイン数 | - | 1 | 1 | 1 | 1,000 |
デフォルトでサポートされる最大サブドメイン数 | ワイルドカードドメインをサポート | 10 | 10 | 10 | 1,000 |
HTTPS 保護 | 数回クリックするだけで、WebサイトにHTTPS保護を実装 | ✓ | ✓ | ✓ | ✓ |
HTTPS/2 保護 | HTTP / 2を使用するWebサイトを保護 | × | ✓ | ✓ | ✓ |
非標準のポートプロテクション | 標準ポート80・8080・443 及び8443以外のポートを介したトラフィックを保護 | × | ✓ | ✓ | ✓ |
インテリジェントな負荷分散 | 複数のSLBサービスノードに接続して、自動ディザスタリカバリと低遅延の最適なルーティングを実装 | ○ | ○ | ○ | ○ |
排他的IPアドレス | 特定のドメイン名を保護するための排他的IPアドレスを提供 | ○ | ○ | ○ | ○ |
排他的クラスター | ビジネス要件に基づいて、サービスアクセスおよび保護機能をカスタマイズ | × | × | × | ✓ |
保護ルールエンジン | SQLインジェクションやXSS攻撃などの一般的なWeb攻撃から保護 | ✓ | ✓ | ✓ | ✓ |
Webのゼロデイ脆弱性に対する保護ルールの自動更新を有効 | ✓ | ✓ | ✓ | ✓ | |
カスタム保護ルールグループ | 保護ルールグループをカスタマイズ | × | ✓ | ✓ | ✓ |
ビッグデータディープラーニングエンジン | Webのゼロデイ脆弱性を検出 | × | ✓ | ✓ | ✓ |
ポジティブセキュリティモデル | Webサイトのトラフィックのディープラーニングに基づいて、積極的な防御機能を提供 | × | × | ✓ | ✓ |
Webサイトの改ざん防止 | コンテンツの改ざんを防ぐためにWebページをロック | ✓ | ✓ | ✓ | ✓ |
データ漏えい防止 | IDカード番号・携帯電話番号・銀行カード番号などの機密データの漏洩を防御 | ✓ | ✓ | ✓ | ✓ |
HTTPフラッドプロテクション | 予防または予防緊急モードでの一般的なHTTPフラッド攻撃から保護 | ✓ | ✓ | ✓ | ✓ |
ブラックリスト | 特定のIPアドレスまたはCIDRブロックからのアクセス要求をブロック | ✓ | ✓ | ✓ | ✓ |
特定のIPアドレス・特定のCIDRブロック または特定の地域のIPアドレスからのアクセス要求をブロック | × | ✓ | ✓ | ✓ | |
スキャン保護 | Web攻撃とパストラバーサルが頻繁に開始されるIPアドレスとスキャンツールのIPアドレスをブロックし、協調的な防御を提供(デフォルトのルールは、最初のタイプのIPアドレスをブロックするために使用) | ✓ | ✓ | ✓ | ✓ |
上記の保護機能をサポートし、高頻度のWeb攻撃とパストラバーサルのブロックルールをカスタマイズ | × | ✓ | ✓ | ✓ | |
カスタム保護ポリシー | IP・URL・リファラー・ユーザーエージェント・パラメーターなどの基本的なフィールドを使用して、ACLベースのアクセス制御をサポート | ✓ | ✓ | ✓ | ✓ |
基本フィールドと詳細フィールドを使用して、ACLベースのアクセス制御をサポート( 詳細フィールドには、Cookie・Content-Type・Header・HTTP-Methodを含む) | × | ✓ | ✓ | ✓ | |
IPアドレスとセッションに基づいてレート制限ポリシーを構成(一致条件を追加し、レート制限ポリシーを構成できるHTTPフラッド保護ルールをカスタマイズ) | × | ✓ | ✓ | ✓ | |
IPアドレス・セッション・カスタムフィールドに基づいてレート制限ポリシーを構成 | × | × | ✓ | ✓ | |
データリスク管理 | 登録・ログオン・アクティビティ・フォーラムなどの重要なWebサイトサービスを詐欺から保護 | ○ | ○ | ○ | ○ |
許可されたクローラー | Google・Bing・Baidu・Yandexなどの承認された検索エンジンで構成されるホワイトリストを維持(これらの検索エンジンのクローラーは、指定されたドメイン名にアクセス) | ○ | ○ | ○ | ○ |
ボット脅威インテリジェンス | データセンターおよび悪意のあるスキャナーによって使用される疑わしいIPアドレスに関する情報を提供(悪意のあるクローラーのIPアドレスライブラリも維持し、クローラーがドメイン名または特定のディレクトリの下にあるすべてのページにアクセスするのを防御) | ○ | ○ | ○ | ○ |
アプリの保護 | ネイティブアプリに安全な接続とボット防止保護を提供 (プロキシサーバーとエミュレーターからの要求および無効な署名を持つ要求を識別) | ○ | ○ | ○ | ○ |
アカウントのセキュリティ | 辞書攻撃・ブルートフォース攻撃・スパムユーザー登録・脆弱なパスワード・登録エンドポイントやログオンエンドポイントなどのサービスエンドポイントに対するSMSフラッド攻撃を検出 | ✓ | ✓ | ✓ | ✓ |
WAFのログサービス | すべてのログを収集して保存し、ほぼリアルタイムのクエリと分析を可能にし、オンラインレポートを提供 | × | ○ | ○ | ○ |
まとめ
Alibaba Cloud WAF は SaaS型のため、Alibaba Cloud 以外のオンプレミス・クラウドのインフラ環境でも利用することができます。プラットフォームを選ばないマルチクラウド対応なので、とても汎用性がありそうです。