BLOG

Atlassian Confluence デプロイメントを CVE-2023-22515 などから保護する

Bill Church サムネール
Bill Church
Published October 18, 2023

デジタル コラボレーションが最も重要な時代において、Atlassian Confluence のようなツールは、組織がコミュニケーションとコラボレーションを合理化するために不可欠なものとなっています。ただし、脆弱性により Confluence インスタンスが不正アクセスにさらされる可能性があるため、優れたユーティリティには大きな責任が伴います。このブログ投稿では、Confluence に関する重大なセキュリティ問題を調査し、関連する脆弱性の軽減に役立つ F5 が提供する強力なソリューションについて説明します。

脆弱性

人気のコラボレーションおよびドキュメント ツールである安全でない Atlassian Confluence は、重大なゼロデイ セキュリティ欠陥のため、現在脅威アクターの標的になっています。この脆弱性により、悪意のある攻撃者は基本的に認証なしでユーザーをシステムに追加できます。これは、権限のないユーザーが機密情報にアクセスし、組織内に大混乱を引き起こす可能性があるため、データの整合性とセキュリティに深刻な脅威をもたらします。

脆弱性の軽減

もちろん、最善の方法は、Confluence インスタンスにすぐにパッチを適用することです。しかし、ここでの主な問題は、修正が利用可能になる前に、この脆弱性が攻撃者によって悪用されたことです。この脆弱性やその他の未知の脆弱性を軽減し、Atlassian Confluence インスタンスのセキュリティを強化するには、実績のある高度なソリューションに依存するのが最善です。 F5 は、BIG-IP AWAF および BIG-IP APM を使用することで助けることができます。

BIG-IP Advanced Web Application Firewall (AWAF)

BIG-IP AWAF は、攻撃者が頻繁に悪用する未知の脆弱性を含む、幅広い脅威から Web アプリケーションを保護するために設計された強力なセキュリティです。 Confluence インスタンスの保護にどのように役立つかは次のとおりです。

BIG-IP AWAF は機械学習を活用して、ユーザーがアプリケーションとどのように対話するかを理解します。これらのインタラクションを中心に積極的なセキュリティ ポリシーを構築し、正当なアクティビティと悪意のあるアクティビティを区別します。このプロアクティブなアプローチは、特定の脆弱性がまだわかっていない場合でも、攻撃を防ぐのに役立ちます。

BIG-IP AWAF は、ユーザーのやり取りを監視および分析することで、脅威アクターが現在使用しているアクティビティを含む不審なアクティビティを特定してブロックできます。リアルタイムの脅威の検出と対応を提供し、Confluence インスタンスの安全性を確保します。

BIG-IP AWAF は、ポジティブ セキュリティ モデルに加えて、シグネチャを活用して既知の攻撃をブロックすることもできます (この脆弱性や他の Confluence の脆弱性に対していくつかのシグネチャが利用可能です)。

BIG-IP Access Policy Manager (APM)

BIG-IP APM は、Confluence インスタンスを保護するためのもう 1 つの重要なコンポーネントです。アクセス制御と認証に重点を置き、許可されたユーザーのみがアクセスできるようにします。最も注目すべきは、スマート カード (CAC/PIV) 多要素認証と属性ベースのアクセス制御 (ABAC) との統合です。

BIG-IP APM を使用すると、多要素認証 (MFA) とマルチレベル認証を実装できるようになり、セキュリティ体制が大幅に強化されます。これは、ユーザーが知っているもの (パスワード)、持っているもの (スマート カード)、そして場合によっては自分自身のもの (生体認証) など、複数の形式の認証を提供する必要があることを意味します。

スマート カード認証 (CAC/PIV) は政府機関や高セキュリティ環境には必須であり、スマート カード認証 (Common Access Card - CAC または Personal Identity Verification - PIV) がゴールド スタンダードです。 BIG-IP APM はスマート カード認証を完全にサポートし、適切な資格情報を持つ個人のみが Confluence にアクセスできるようにします。さらに重要なのは、F5 のソリューションは、スマート カード認証の概念を持たないアプリケーションや、ニーズに合わせて構成するのが難しすぎたり、厳格すぎたりするアプリケーションでもこれを実行できることです。

Atlassian Confluence デプロイメントを保護する鍵となるその他の F5 オファリング:

NGINX App Protect

BIG-IP AWAF および BIG-IP APM ソリューションと並んで、NGINX App Protect は、Atlassian Confluence インスタンスを保護するために検討すべきもう 1 つの強力なオプションです。 NGINX App Protect は、Web アプリケーション ファイアウォール (WAF) として導入されることが多く、アプリケーションのセキュリティを強化するための独自の機能セットを提供します。

Advanced Threat Protection:高度な脅威保護

NGINX App Protect は、高度な脅威保護を最前線にもたらします。受信 HTTP および HTTPS トラフィックを検査およびフィルタリングすることで、Atlassian Confluence の脆弱性を標的とする可能性のある攻撃を含む、幅広いアプリケーション層攻撃を阻止できます。

Zero-Day Vulnerability Mitigation:ゼロデイ脆弱性の軽減

NGINX App Protect は、シグネチャ ベースの検出と動作ベースの検出を組み合わせて使用​​し、特定の脆弱性が不明な場合でも攻撃を特定します。このアプローチにより、アプリケーションは新たな脅威から確実に保護されます。

Web アプリケーションのセキュリティ ポリシー

NGINX App Protect を使用すると、アプリケーションのカスタム セキュリティ ポリシーを定義して適用できます。これらのポリシーを調整して、不正なユーザーの追加やその他の一般的な脅威から保護することができます。

BIG-IP iRules

iRule の修正により脆弱性が解消されるため、ここでは詳細には触れませんが、iRule を使用すると、現在 APM や AWAF のライセンスを取得していない場合や、APM や AWAF を使用していない場合でも、より手動のプロセスではありますが、トラフィックを変更したり影響を与えたりする柔軟性が得られます。

デジタル コラボレーションの時代では、Atlassian Confluence インスタンスを保護することが最も重要です。 F5 の洗練されたソリューションは、包括的で一貫したセキュリティを提供し、不正なユーザーの追加やその他の潜在的な脅威から Confluence インスタンスを保護します。 BIG-IP AWAF の積極的なセキュリティ ポリシー機能と、BIG-IP APM の多要素および多レベルの認証機能を利用することで、Confluence 環境を保護し、特に政府機関や高官の権限のある担当者のみが Confluence 環境にアクセスできるようにすることができます。Confluence 導入環境を公開したままにしないでください。F5 のソリューションを使用してセキュリティを強化するための事前の措置を講じてください。BIG-IP サービスの詳細をご覧ください。