【大阪 / 横浜】インフラ / サーバーサイドエンジニア募集中！

【導入実績 500社以上】AWS 構築・運用保守・監視サービス

【CentOS 後継】AlmaLinux OS サーバー構築・移行サービス

【WordPress 専用】クラウドサーバー『ウェブスピード』

【格安】Webサイトセキュリティ自動診断「クイックスキャナー」

【低コスト】Wasabi オブジェクトストレージ構築・運用サービス

【予約システム開発】EDISONE カスタマイズ開発サービス

【100URLの登録が0円】Webサイト監視サービス『Appmill』

【中国現地企業に対応】中国クラウド / サーバー構築・運用保守

【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」

【中国】Alibaba Cloud の WAF 機能【セキュリティ】

2021.09.02

1 Alibaba Cloud セキュリティの歴史
2 Alibaba Cloud WAF のサービス概要
3 Alibaba Cloud WAF の機能（エディション別）
4 まとめ

技術営業部の大原です。

今回は、Alibaba Cloud が提供するWAFサービス「Alibaba Cloud WAF」の特徴・機能を記載します。
※ 2021年9月時点の情報です。

Alibaba Cloud セキュリティの歴史

Alibaba Cloudでは様々な外部のサイバー攻撃から、Alibaba Cloudのサービスを守るためセキュリティプロダクトの開発に注力しています。

そのセキュリティプロダクトの一つである Alibaba Cloud WAF（Web Application Firewall）は、Alibaba Cloudによる10年以上のセキュリティ経験に基づいて開発されたWeb攻撃防御のためのサービスであり、ビッグデータの機能を活用した高度な防御メカニズムを備えている進化型のサービスです。

Alibaba Cloud WAF のサービス概要

Alibaba Cloud WAF は Alibaba Cloud への設置だけでなく、オンプレミスやVPS・他社クラウドサーバーで稼働しているシステムに対してもDNSを切り替えるだけで設置できるため、防御対象のインフラ環境を選びません。

■ Webアプリケーション保護

● ゼロデイ攻撃防御
・24時間以内に動的に防御ルールを更新することで、速やかにリスクに対処が可能。
● Webサイトの隠蔽
・DNSを利用してトラフィックを迂回させることで、侵入者からサイトを隠蔽し保護。
● OWASP攻撃防御
・様々な防御ポリシーや検疫機能を提供し、SQLインジェクションなどの既知の攻撃も正確に判定し防御。

■ サイトアクセスコントロール

● HTTPS機能の追加
・プライベートキーファイルをアップロードするだけで、サイトにHTTPS機能を付加。
● アクセスコントロール
・多層保護により、侵入に必要となるサイトの情報収集行為を判定し遮断。

■ 精度の高いトラフィック分析

● 正確な悪意のあるアクセス判定
・ボットなど悪意のあるアクセスは正確に特定でき、ブロックされる際に評価します。
● カスタムポリシー
・必要に応じて自由に防御ルールの変更や反映が可能。

Alibaba Cloud WAF の機能（エディション別）

Alibaba Cloud WAF では、処理能力・防御機能・ケース別に応じて 4エディションが選択できます。
例えば、Professional エディションからスモールスタートし、Webアクセスの増加に合わせてエディションの変更することが可能なので、用途や状況にあわせて柔軟にスケールアップすることができます。

特徴	概要	Pro Edition	Business Edition	Enterprise Edition	Exclusive Edition (submit tickets to purchase)
ピークリクエスト率	-	2,000 QPS	5,000 QPS	10,000 QPS より高い	5,000 QPS
最大帯域幅	配信元サーバーが Alibaba Cloud にデプロイされている場合	50 Mbit/秒	100 Mbit/秒	200 Mbit/秒	100 Mbit/秒
最大帯域幅	配信元サーバーが Alibaba Cloud にデプロイされない場合	10 Mbit/秒	30 Mbit/秒	50 Mbit/秒	30 Mbit/秒
デフォルトでサポートされる最大ドメイン数	-	1	1	1	1,000
デフォルトでサポートされる最大サブドメイン数	ワイルドカードドメインをサポート	10	10	10	1,000
HTTPS 保護	数回クリックするだけで、WebサイトにHTTPS保護を実装	✓	✓	✓	✓
HTTPS/2 保護	HTTP / 2を使用するWebサイトを保護	×	✓	✓	✓
非標準のポートプロテクション	標準ポート80・8080・443 及び8443以外のポートを介したトラフィックを保護	×	✓	✓	✓
インテリジェントな負荷分散	複数のSLBサービスノードに接続して、自動ディザスタリカバリと低遅延の最適なルーティングを実装	○	○	○	○
排他的IPアドレス	特定のドメイン名を保護するための排他的IPアドレスを提供	○	○	○	○
排他的クラスター	ビジネス要件に基づいて、サービスアクセスおよび保護機能をカスタマイズ	×	×	×	✓
保護ルールエンジン	SQLインジェクションやXSS攻撃などの一般的なWeb攻撃から保護	✓	✓	✓	✓
保護ルールエンジン	Webのゼロデイ脆弱性に対する保護ルールの自動更新を有効	✓	✓	✓	✓
カスタム保護ルールグループ	保護ルールグループをカスタマイズ	×	✓	✓	✓
ビッグデータディープラーニングエンジン	Webのゼロデイ脆弱性を検出	×	✓	✓	✓
ポジティブセキュリティモデル	Webサイトのトラフィックのディープラーニングに基づいて、積極的な防御機能を提供	×	×	✓	✓
Webサイトの改ざん防止	コンテンツの改ざんを防ぐためにWebページをロック	✓	✓	✓	✓
データ漏えい防止	IDカード番号・携帯電話番号・銀行カード番号などの機密データの漏洩を防御	✓	✓	✓	✓
HTTPフラッドプロテクション	予防または予防緊急モードでの一般的なHTTPフラッド攻撃から保護	✓	✓	✓	✓
ブラックリスト	特定のIPアドレスまたはCIDRブロックからのアクセス要求をブロック	✓	✓	✓	✓
ブラックリスト	特定のIPアドレス・特定のCIDRブロックまたは特定の地域のIPアドレスからのアクセス要求をブロック	×	✓	✓	✓
スキャン保護	Web攻撃とパストラバーサルが頻繁に開始されるIPアドレスとスキャンツールのIPアドレスをブロックし、協調的な防御を提供（デフォルトのルールは、最初のタイプのIPアドレスをブロックするために使用）	✓	✓	✓	✓
スキャン保護	上記の保護機能をサポートし、高頻度のWeb攻撃とパストラバーサルのブロックルールをカスタマイズ	×	✓	✓	✓
カスタム保護ポリシー	IP・URL・リファラー・ユーザーエージェント・パラメーターなどの基本的なフィールドを使用して、ACLベースのアクセス制御をサポート	✓	✓	✓	✓
	基本フィールドと詳細フィールドを使用して、ACLベースのアクセス制御をサポート（詳細フィールドには、Cookie・Content-Type・Header・HTTP-Methodを含む）	×	✓	✓	✓
	IPアドレスとセッションに基づいてレート制限ポリシーを構成（一致条件を追加し、レート制限ポリシーを構成できるHTTPフラッド保護ルールをカスタマイズ）	×	✓	✓	✓
	IPアドレス・セッション・カスタムフィールドに基づいてレート制限ポリシーを構成	×	×	✓	✓
データリスク管理	登録・ログオン・アクティビティ・フォーラムなどの重要なWebサイトサービスを詐欺から保護	○	○	○	○
許可されたクローラー	Google・Bing・Baidu・Yandexなどの承認された検索エンジンで構成されるホワイトリストを維持（これらの検索エンジンのクローラーは、指定されたドメイン名にアクセス）	○	○	○	○
ボット脅威インテリジェンス	データセンターおよび悪意のあるスキャナーによって使用される疑わしいIPアドレスに関する情報を提供（悪意のあるクローラーのIPアドレスライブラリも維持し、クローラーがドメイン名または特定のディレクトリの下にあるすべてのページにアクセスするのを防御）	○	○	○	○
アプリの保護	ネイティブアプリに安全な接続とボット防止保護を提供（プロキシサーバーとエミュレーターからの要求および無効な署名を持つ要求を識別）	○	○	○	○
アカウントのセキュリティ	辞書攻撃・ブルートフォース攻撃・スパムユーザー登録・脆弱なパスワード・登録エンドポイントやログオンエンドポイントなどのサービスエンドポイントに対するSMSフラッド攻撃を検出	✓	✓	✓	✓
WAFのログサービス	すべてのログを収集して保存し、ほぼリアルタイムのクエリと分析を可能にし、オンラインレポートを提供	×	○	○	○