NGINX App Protect によるレイヤー 7 DoS 攻撃からアプリを保護するサービス拒否

従来の保護を超えて

DoS 攻撃のソースが分散されている場合でも ( DDoS 攻撃になる)、ネットワーク層での基本的なボリューム型攻撃は一般に単一のデバイスまたはサービスがターゲットとされており、従来の保護ツールも同様にモノリシックかつ集中化されています。これらのツールはアプリケーションセキュリティの分野で依然として重要な役割を果たしていますが、それだけでは十分ではありません。現在、クラウドベースの DDoS 保護サービスは業界標準となっています。しかし、アプリケーションがもはやモノリシックな単一サービスではなく、保護が必要な統合ポイントが多数あるという事実にはまだ対処されていません。

デジタルトランスフォーメーションと、それに伴う API、マイクロサービス、クラウドベースの統合への大規模なアーキテクチャの移行以前は、基本的な Web アプリケーションファイアウォール (WAF) で脆弱性の悪用や DoS 攻撃を大幅に軽減できました。たとえば、クライアント側でフラッドとして現れるボリューム型攻撃では、トラフィックが集中化されているため、基本的な WAF と従来の DoS ツールが効果的です。クラウドスクラビングサービスにより、トラフィックが入力パイプに入る前に攻撃を軽減したり、アプリケーションスタックの前に保護を配置したりできます。基本的な WAF は、主にレート制限、ブラックリスト、ボットシグネチャを通じて従来の攻撃から保護しますが、脅威の状況はそれ以上に変化しています。

つまり、状況は変わり、基本的な WAF と従来の DoS 保護は、最新のアプリケーションアーキテクチャでは効果がありません。

最近の DoS 攻撃はレイヤー 7 で発生しており、暗号化されたチャネルとターゲットアプリケーションロジックに隠されているため、検出がはるかに困難です。したがって、DoS 攻撃の 2 つの最大の指標であるクライアントの動作とサーバーのストレスを測定するには、追加の保護レイヤーが必要です。

この問題に対処するために、最近、 NGINX App Protect Denial of Service モジュールをリリースしました。すでに WAF と従来の DoS 保護を導入している場合、DoS モジュールが必要かどうか疑問に思うかもしれません。確かにそうです。その理由については、以下をお読みください。

近代建築には近代的な保護が必要

暗号化はあらゆる場所で行われており、従来の DoS 保護は大規模な復号化を想定して設計されていません。モノリシックアプリケーションの時代では、暗号化がそれほど普及しておらず、クライアント側だけを調べることで攻撃をほぼ検出できたため、集中型の DoS 緩和が理にかなっています。現在、ほぼすべてのトラフィックが暗号化されているため、入力トラフィックのみに焦点を当てたステートレス DoS 緩和策は、特に攻撃が単一のターゲット要求を使用してアプリケーションにストレスを与える場合には、ほとんど効果がありません。

アプリケーションは現在、マイクロサービスなどの分散アーキテクチャ向けに設計および最適化されており、ユーザーのプライバシーが重視されるようになったこと (およびそれに伴う法律制定) と暗号化の進歩により、エンドツーエンドの暗号化が一般的になりつつあります。最新のアーキテクチャは API に大きく依存しており、 API 間通信 (東西トラフィックとも呼ばれる) は集中型のセキュリティ制御を通過しない可能性もあります。

効果的なアプリケーションレベルの DoS 保護には、クライアント側の異常やサーバー側のストレスを検出する機能を含む、エンドツーエンドの可視性とコンテキストが必要です。高度なレイヤー 7 DoS 攻撃は、正当なトラフィックを装うことが多いため、レート制限、ブラックリスト、署名、プロトコル準拠などの基本的な緩和策ではもはや十分ではありません。

高度なレイヤー 7 攻撃は表面上は正当なトラフィックのように見えますが、基本的な WAF ではそれを検出するために必要な動作分析が不足しています。 NGINX App Protect DoS は、クライアントの異常とサーバーのストレスの両方を監視するように特別に設計されており、すでに過負荷になっているセキュリティチームの注意を必要とせずに、攻撃を動的に識別して軽減し、軽減効果を測定することができます。

基本的な WAF 防御と従来の DDoS 緩和策だけに頼っていると、レイヤー 7 攻撃に対する適切な可視性とコンテキストが得られず、遅延、ダウンタイム、収益の喪失、ブランドのダメージなど、甚大な結果を招く可能性があります。動作分析により、クライアントの異常とサービスの健全性を継続的に分析し、ゼロデイ DoS 攻撃を検出できます。サイトの行動を詳しく観察することで、次のような質問に答えることができます。ベースラインのトラフィックパターンと比較して異常な点はありますか? リクエストはブラウザから送信されたように見えますが、ブラウザに含まれると予想される情報が不足していますか? リクエストには、CPU 使用率が高くなる複雑なデータベースクエリが含まれていますか?

NGINX App Protect DoS は、通常のパフォーマンスと動作を把握することで、従来の防御を回避し、アプリケーションにストレスを与えるレイヤー 7 攻撃に焦点を当てることができます。

NGINX App Protect WAF と DoS によってブロックされる 8 種類の攻撃を示す図

複数のモジュールで軽減する

DoS 攻撃の結果は変わっていません。パフォーマンスの低下、ユーザーの不満、収益の喪失です。しかし、DoS 攻撃の発生方法は非常に異なっており、ハッカーは暗号化やセキュリティツールを使用して、脅威を正当なトラフィックとして偽装します。

ユーザーはアーキテクチャの違いを区別できないかもしれませんが、サイトのパフォーマンスの良し悪しの違いは区別できます。攻撃トラフィックの集中攻撃により遅延が発生し、ユーザーエクスペリエンスが遅く感じられます。遅すぎると、最も忍耐強いユーザー（多くはありませんが）でさえも取引を中止し、別のサイトへ切り替えてしまいます。単一のターゲットを絞ったリクエストによって遅延やサーバーの負荷が発生する可能性があるため、専用のアプリケーション DoS 保護が重要です。

Web アプリケーションセキュリティソリューションは、OWASP Automated Threats to Web Applicationsに記載されているような新しい攻撃に対応するために進化し続けています。しかし、アプリケーションランタイムにネイティブに統合される保護が必要です。何かダイナミックなもの。適応性のあるもの。他の DoS ソリューションはSYNフラッドなどのネットワーク DDoS 攻撃向けに設計されている場合もありますが、NGINX App Protect DoS ソリューションは、アプリケーションリソースに負荷をかけるレイヤー 7 攻撃に特化しています。 WAF とレイヤー 7 DoS ソリューションを組み合わせることで、脆弱性の悪用とビジネスロジックの悪用の両方からアプリケーションが保護され、侵害だけでなく、遅延、劣化、ダウンタイムも防止されます。

現在、商取引は主にオンラインで行われています。今ではほとんどの人がオンラインになっています。そこを安全で安心できる場所にする必要があります。 NGINX App Protect WAFモジュールとNGINX App Protect DoSモジュールを組み合わせることで、環境、アプリケーション、ビジネスに適した強力な保護を実現できます。

F5 NGINX に関するブログ投稿をもっと読む ›

「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"

検索結果の提案

NGINX App Protect によるレイヤー 7 DoS 攻撃からアプリを保護するサービス拒否

従来の保護を超えて

近代建築には近代的な保護が必要

複数のモジュールで軽減する

すべてのアプリを配信し、保護する

NGINX App Protect によるレイヤー 7 DoS 攻撃からアプリを保護するサービス拒否

従来の保護を超えて

近代建築には近代的な保護が必要

複数のモジュールで軽減する

すべてのアプリを配信し、保護する

F5の情報を入手