【大阪 / 横浜】インフラ / サーバーサイドエンジニア募集中!

【大阪 / 横浜】インフラ / サーバーサイドエンジニア募集中!

【2024年2月~】25年卒 エンジニア新卒採用の募集を開始!

【2024年2月~】25年卒 エンジニア新卒採用の募集を開始!

【導入実績 500社以上】AWS 構築・運用保守・監視サービス

【導入実績 500社以上】AWS 構築・運用保守・監視サービス

【CentOS 後継】AlmaLinux OS サーバー構築・移行サービス

【CentOS 後継】AlmaLinux OS サーバー構築・移行サービス

【WordPress 専用】クラウドサーバー『ウェブスピード』

【WordPress 専用】クラウドサーバー『ウェブスピード』

【格安】Webサイト セキュリティ自動診断「クイックスキャナー」

【格安】Webサイト セキュリティ自動診断「クイックスキャナー」

【低コスト】Wasabi オブジェクトストレージ 構築・運用サービス

【低コスト】Wasabi オブジェクトストレージ 構築・運用サービス

【予約システム開発】EDISONE カスタマイズ開発サービス

【予約システム開発】EDISONE カスタマイズ開発サービス

【100URLの登録が0円】Webサイト監視サービス『Appmill』

【100URLの登録が0円】Webサイト監視サービス『Appmill』

【中国現地企業に対応】中国クラウド / サーバー構築・運用保守

【中国現地企業に対応】中国クラウド / サーバー構築・運用保守

【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」

【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」

【中国】Alibaba Cloud の WAF 機能【セキュリティ】

技術営業部の大原です。

今回は、Alibaba Cloud が提供するWAFサービス「Alibaba Cloud WAF」の特徴・機能を記載します。
※ 2021年9月時点の情報です。

Alibaba Cloud セキュリティの歴史

Alibaba Cloudでは 様々な外部のサイバー攻撃から、Alibaba Cloudのサービスを守るためセキュリティプロダクトの開発に注力しています。

そのセキュリティプロダクトの一つである Alibaba Cloud WAF(Web Application Firewall)は、Alibaba Cloudによる10年以上のセキュリティ経験に基づいて開発されたWeb攻撃防御のためのサービスであり、ビッグデータの機能を活用した高度な防御メカニズムを備えている進化型のサービスです。

Alibaba Cloud WAF のサービス概要

Alibaba Cloud WAF は Alibaba Cloud への設置だけでなく、オンプレミスやVPS・他社クラウドサーバーで稼働しているシステムに対してもDNSを切り替えるだけで設置できるため、防御対象のインフラ環境を選びません。

■ Webアプリケーション保護

● ゼロデイ攻撃防御
・24時間以内に動的に防御ルールを更新することで、速やかにリスクに対処が可能。
● Webサイトの隠蔽
・DNSを利用してトラフィックを迂回させることで、侵入者からサイトを隠蔽し保護。
● OWASP攻撃防御
・様々な防御ポリシーや検疫機能を提供し、SQLインジェクションなどの既知の攻撃も正確に判定し防御。

■ サイトアクセスコントロール

● HTTPS機能の追加
・プライベートキーファイルをアップロードするだけで、サイトにHTTPS機能を付加。
● アクセスコントロール
・多層保護により、侵入に必要となるサイトの情報収集行為を判定し遮断。

■ 精度の高いトラフィック分析

● 正確な悪意のあるアクセス判定
・ボットなど悪意のあるアクセスは正確に特定でき、ブロックされる際に評価します。
● カスタムポリシー
・必要に応じて自由に防御ルールの変更や反映が可能。

Alibaba Cloud WAF の機能(エディション別)

Alibaba Cloud WAF では、処理能力・防御機能・ケース別に応じて 4エディション が選択できます。
例えば、Professional エディションからスモールスタートし、Webアクセスの増加に合わせてエディションの変更することが可能なので、用途や状況にあわせて柔軟にスケールアップすることができます。

特徴 概要 Pro Edition Business Edition Enterprise Edition Exclusive Edition (submit tickets to purchase)
ピークリクエスト率 - 2,000 QPS 5,000 QPS 10,000 QPS より高い 5,000 QPS
最大帯域幅 配信元サーバーが Alibaba Cloud にデプロイされている場合 50 Mbit/秒 100 Mbit/秒 200 Mbit/秒 100 Mbit/秒
配信元サーバーが Alibaba Cloud にデプロイされない場合 10 Mbit/秒 30 Mbit/秒 50 Mbit/秒 30 Mbit/秒
デフォルトでサポートされる最大ドメイン数 - 1 1 1 1,000
デフォルトでサポートされる最大サブドメイン数 ワイルドカードドメインをサポート 10 10 10 1,000
HTTPS 保護 数回クリックするだけで、WebサイトにHTTPS保護を実装
HTTPS/2 保護 HTTP / 2を使用するWebサイトを保護 ×
非標準のポートプロテクション 標準ポート80・8080・443 及び8443以外のポートを介したトラフィックを保護 ×
インテリジェントな負荷分散 複数のSLBサービスノードに接続して、自動ディザスタリカバリと低遅延の最適なルーティングを実装
排他的IPアドレス 特定のドメイン名を保護するための排他的IPアドレスを提供
排他的クラスター ビジネス要件に基づいて、サービスアクセスおよび保護機能をカスタマイズ × × ×
保護ルールエンジン SQLインジェクションやXSS攻撃などの一般的なWeb攻撃から保護
Webのゼロデイ脆弱性に対する保護ルールの自動更新を有効
カスタム保護ルールグループ 保護ルールグループをカスタマイズ ×
ビッグデータディープラーニングエンジン Webのゼロデイ脆弱性を検出 ×
ポジティブセキュリティモデル Webサイトのトラフィックのディープラーニングに基づいて、積極的な防御機能を提供 × ×
Webサイトの改ざん防止 コンテンツの改ざんを防ぐためにWebページをロック
データ漏えい防止 IDカード番号・携帯電話番号・銀行カード番号などの機密データの漏洩を防御
HTTPフラッドプロテクション 予防または予防緊急モードでの一般的なHTTPフラッド攻撃から保護
ブラックリスト 特定のIPアドレスまたはCIDRブロックからのアクセス要求をブロック
特定のIPアドレス・特定のCIDRブロック または特定の地域のIPアドレスからのアクセス要求をブロック ×
スキャン保護 Web攻撃とパストラバーサルが頻繁に開始されるIPアドレスとスキャンツールのIPアドレスをブロックし、協調的な防御を提供(デフォルトのルールは、最初のタイプのIPアドレスをブロックするために使用)
上記の保護機能をサポートし、高頻度のWeb攻撃とパストラバーサルのブロックルールをカスタマイズ ×
カスタム保護ポリシー IP・URL・リファラー・ユーザーエージェント・パラメーターなどの基本的なフィールドを使用して、ACLベースのアクセス制御をサポート
基本フィールドと詳細フィールドを使用して、ACLベースのアクセス制御をサポート( 詳細フィールドには、Cookie・Content-Type・Header・HTTP-Methodを含む) ×
IPアドレスとセッションに基づいてレート制限ポリシーを構成(一致条件を追加し、レート制限ポリシーを構成できるHTTPフラッド保護ルールをカスタマイズ) ×
IPアドレス・セッション・カスタムフィールドに基づいてレート制限ポリシーを構成 × ×
データリスク管理 登録・ログオン・アクティビティ・フォーラムなどの重要なWebサイトサービスを詐欺から保護
許可されたクローラー Google・Bing・Baidu・Yandexなどの承認された検索エンジンで構成されるホワイトリストを維持(これらの検索エンジンのクローラーは、指定されたドメイン名にアクセス)
ボット脅威インテリジェンス データセンターおよび悪意のあるスキャナーによって使用される疑わしいIPアドレスに関する情報を提供(悪意のあるクローラーのIPアドレスライブラリも維持し、クローラーがドメイン名または特定のディレクトリの下にあるすべてのページにアクセスするのを防御)
アプリの保護 ネイティブアプリに安全な接続とボット防止保護を提供 (プロキシサーバーとエミュレーターからの要求および無効な署名を持つ要求を識別)
アカウントのセキュリティ 辞書攻撃・ブルートフォース攻撃・スパムユーザー登録・脆弱なパスワード・登録エンドポイントやログオンエンドポイントなどのサービスエンドポイントに対するSMSフラッド攻撃を検出
WAFのログサービス すべてのログを収集して保存し、ほぼリアルタイムのクエリと分析を可能にし、オンラインレポートを提供 ×

まとめ

Alibaba Cloud WAF は SaaS型のため、Alibaba Cloud 以外のオンプレミス・クラウドのインフラ環境でも利用することができます。プラットフォームを選ばないマルチクラウド対応なので、とても汎用性がありそうです。

 

この記事がお役に立てば【 いいね 】のご協力をお願いいたします!
0
読み込み中...
0 票, 平均: 0.00 / 10
388
X facebook はてなブックマーク pocket
【2024.6.30 CentOS サポート終了】CentOS サーバー移行ソリューション

【2024.6.30 CentOS サポート終了】CentOS サーバー移行ソリューション

【2024年2月~】25年卒 エンジニア新卒採用の募集を開始いたします!

【2024年2月~】25年卒 エンジニア新卒採用の募集を開始いたします!

【大阪 / 横浜】インフラエンジニア・サーバーサイドエンジニア 積極採用中!

【大阪 / 横浜】インフラエンジニア・サーバーサイドエンジニア 積極採用中!

この記事をかいた人

About the author

ohara

通信業界で法人向けのNWサービス・OA機器・グループウェアなどの、IT製品の導入を担当するセールスとしてキャリアをスタート。

その後、SIer系のデータセンター事業会社で、物理サーバー / ホスティングサービスのプリセールスエンジニア、SaaS型のSFA / CRM・BtoB向けのEコマースなどのカスタマーエンジニアを経て、現在のビヨンドへ入社。

現在は、アジアのシリコンバレー中国・深圳に駐在して、中国のハードウェア / ソフトウェアの輸出入貿易・卸売代理店してます。

所有資格:AWS Certified Cloud Practitioner(CLF)・簿記二級