WAFを購入する前に何を検討する必要がありますか?
近年、多くの企業はクラウド上のアプリケーションを利用してビジネスを拡大しています。
Webに対するセキュリティの脅威がますます高度化し、企業の情報資産を脅かしています。
日々進化する脅威からデータを守ることを求められるシステム管理者の立場は困難を極めます。
オンプレミスとクラウドのシステム間で共有されるデータについても、ITコンプライアンスを順守する必要があります。
Webアプリケーションファイアウォール(WAF)は複雑な製品です。
スループットを最大限に高め、アプリケーションの高可用性を確保するため、WAFを購入する前にいくつかの点を考慮しなければならまりません。
WAFは多数のセキュリティレイヤを必要とます。
また、Webアクセス可能なデータの機密性や可用性、完全性も考慮する必要があります。
WAFはどのようにネットワーク環境に導入すべきですか?
最も重要な側面の1つは、WAFのデプロイです。
従来、WAFはデータセンター内のハードウェアアプライアンスとしてデプロイされていました。
大手企業には、アプリケーションを保護するために多くの選択肢があります。
中小企業には、導入費用が安価なソフトウェアベースのバーチャルエディション(VE)もオプションの1つでしょう。
また、昨今は多くの企業がクラウドベースのWAF(サービスとしてのセキュリティ)を選択しています。
クラウドベースのWAFでは、WAFベンダーのIPアドレスにDNSレコードをリダイレクトし、正当なWebトラフィックを実際のアプリケーションホストに転送する必要があります。
クラウドベースのWAFは、DNS設定のみを必要とし、クラウド内のIT技術での作業が少なくて済むため、実装がはるかに簡単です。
WAFはどのようにWebの脅威を検出しブロックしますか?
WAFは主に、アプリケーションサーバーとクライアント間の要求と応答の内容を検査します。
WAFは、ヘッダー、セッション、ファイルアップロードなどのすべてのコンポーネントを検査し、応答する能力を判断する必要があります。
ブラックリストアプローチを使用することにより、WAFは、SQLインジェクションやクロスサイトスクリプティングなどの既知の攻撃をリスト内で検出した場合、要求をブロックします。
WAFがホワイトリストアプローチを使用する場合、WAFはリスト内の基準を満たす要求を許可します。
定義されたリストだけを受け入れることでより安全になります。
つまり、企業はWAFやベンダーを選択する前に、これらの課題を検討する必要があるでしょう。