高度な Webapplicationファイアウォール (WAF) Launchpad

組織に WAF が必要な理由は何ですか?

今日、企業は Web ベースおよびクラウドホスト型のapplicationsを使用してビジネスを拡大しているため、セキュリティの脅威から保護するために堅牢で俊敏な Webapplicationファイアウォール (WAF) を導入することは贅沢ではなく、必須です。

これらの Web ベースおよびクラウドベースのapplicationsが急速に普及するにつれて、攻撃はますます高度化および頻繁化し、企業の重要なデータと業務が脅かされるようになります。これにより、管理者やセキュリティチームが最新の攻撃や保護対策について最新情報を把握することが非常に困難になります。同時に、オンラインコマースの厳格なコンプライアンス要件 (例: ペイメントカード業界のデータセキュリティ標準) を満たし、SQL インジェクション、DDoS 攻撃、多面的なゼロデイ攻撃などの一般的な攻撃からビジネスクリティカルな Webapplicationsを保護し、従来の環境とクラウド環境間で安全なデータ共有を可能にする必要があります。

WAF を導入するには何が必要ですか?

企業は、正当なトラフィックをブロックしない正確な検出範囲を確保するために、さまざまな手法を組み合わせて使用できます。従来、最も広く使用されている WAF 構成は、脅威/攻撃を含むトランザクションを除くすべてのトランザクションを許可するネガティブセキュリティモデルでした。ネガティブセキュリティでは、既知の脅威や攻撃を検出するために設計されたシグネチャとルールを利用します。攻撃に関する知識が長年にわたって蓄積されてきたため、シグネチャルールデータベースはかなり充実したものになります。これは、Web インジェクション、OWASP トップ 10 の脅威、クロスサイトスクリプティング (XSS) などのよく知られている脅威をブロックする、すぐに使用できる保護の優れたモデルです。

近年、ポジティブセキュリティモデルの人気が高まっています。このアプローチでは、すべてのトラフィックをブロックし、有効かつ安全であることがわかっているトランザクションのみを許可します。積極的なアプローチは、厳格なコンテンツ検証と統計分析に基づいており、ゼロデイ脅威や脆弱性操作の防止に効果的です。積極的なセキュリティアプローチが本当に効果的であるためには、applicationとその予想される用途に関する深い知識が必要です。

課題

実行する複数の連動したステップ

ポジティブモデルとネガティブモデルはどちらも、「セキュリティ」と「機能性」の間の微妙なバランスを実現できます。ただし、ポジティブセキュリティモデルもネガティブセキュリティモデルも単独では、あらゆる状況や環境において最も経済的なソリューションを提供することはできません。ビジネス要件と統合されたポジティブおよびネガティブなアプローチにより、組織はセキュリティポリシーの実装から最大の ROI を実現できます。

ビジネス目標に最適な WAF 導入について適切な決定を下すのは難しい場合があります。通常、時間とリソースの必要性は、選択した製品の使用に関する十分なノウハウと自信の必要性と競合します。

WAF サービスの実装プロジェクトを計画して実施する際に、顧客が実行する必要がある手順は複数あります。

「最も適切な」WAF 戦略を構築し、社内のすべての関係者から承認を得ます。
WAF 製品を効率的に使用して、正しいポリシーとパラメータのセットを実装します。
多くの場合、数百のapplicationsにわたる WAF サービスの展開を計画します。
生産における日常的なサービス運用とライフサイクル管理を計画します。

各ステップには共通の課題があります

企業およびビジネスのセキュリティ要件 (または期待) では、必ずしも技術的、運用的、およびリソース上の制約が十分に考慮されるわけではありません。そうすると、組織がその目標を達成するために必要なすべての準備を整えていることを確認する前に、非常に洗練された戦略を設計して高レベルの目標を達成しようとする誘惑にかられることになります。多くの場合、この問題を解決するには、状況の中立的な評価と分析が必要になることがあります。
ビジネスオーナーが要求するapplicationの可用性と CISO チームが要求する保護レベルとのバランスをとることは、必ずしも容易ではありません。たとえば、企業の経営者は、誤検知や WAF ポリシーの制限が厳しすぎるためにapplicationsがブロックされることを望んでいません。ここでも、状況を公平かつ知識に基づいて評価および分析することで、組織は適切なバランスを見つけ、生産への潜在的な影響に対処するための緩和計画を準備できるようになります。
ソフトウェアベンダーのトレーニングに参加したり、製品認定に合格したりすることは強く推奨されますが、実際の会社の状況、目的、制約内で実践する労力を節約することはできません。
顧客が頻繁に悩む質問の 1 つは、大量のapplicationsをどのように保護するかということです。ただし、多くの場合、量自体は主な問題ではなく、各applicationで利用可能な情報の品質と完全性が WAF プロジェクトの妨げになる可能性があり、設計と実装戦略のさらなる検討につながる可能性があります。 WAF 実装の経験は、関連する基準を発見し、applicationsの特性とグループ化を確立し、全体的な WAF サービスの設計と実装戦略を適応させるのに非常に役立ちます。
多くの場合、顧客は、実現可能性とサポート可能性を確保するために、後の手順を事前に考慮することを忘れています。これはおそらく最も頻繁に犯される間違いです (つまり、そのソリューションを本番環境で長期的に運用する場合に、選択した設計および実装モデルの影響を検討せずにソリューションを設計および計画すること)。よくある例としては、脅威、緩和策、applicationのリリースなど、環境全体があらゆる部分から定期的に変更される中で、高度な WAF ポリシーを維持するために必要なリソースを過小評価することが挙げられます。

F5 ソリューション

F5 プロフェッショナルサービスは、お客様の環境に合わせてソリューションをカスタマイズします

BIG-IP Advanced WAFの包括的な機能セットには、複数の導入方法 (リアルトラフィックポリシービルダーを含む)、手動学習、脆弱性スキャナー統合、攻撃シグネチャ、ブルートフォース防御、地理位置情報の適用、ボット検出、DDoS 緩和などの高度な機能などがあり、目的に合った迅速な構成が可能になり、その後、進化する脅威の世界に対処し、最も厳しい顧客の要件を満たすために拡張および改善することができます。

F5 プロフェッショナルサービスは、 Advanced WAF Advanced WAF Launchpad サービスを特別に作成しました。

Advanced WAF Launchpad サービスは、F5 プロフェッショナルサービスの専門知識と経験のメリットを提供し、お客様が特定のユースケースの問題を克服し、 Advanced WAF実装プロジェクトを成功させるのに役立ちます。

サービス範囲

このサービスには、F5 プロフェッショナルサービスのセキュリティエキスパートと、顧客のセキュリティ、インフラストラクチャ、ネットワーク、およびアプリケーション管理チームとのコラボレーションが含まれます。

このサービスの目的は、F5 のベストプラクティスを使用して目的に合ったAdvanced WAFポリシー実装戦略を開発することと、顧客が直接実践できるノウハウと専門知識を移転することです。

サービス提供アプローチ

このサービスは 2 日間のサービスで、 Advanced WAF の機能、展開、管理要件に関する理論と実践をカバーし、最適なapplicationセキュリティを実現する効果的なAdvanced WAFソリューションを実装する自信と能力を顧客に提供します。

ステップ 1: Advanced WAF設計と導入戦略

契約の初日は、セキュリティアーキテクト、設計者、エンジニア、運用担当者、およびAdvanced WAFセキュリティポリシー管理を担当するその他の関係者が参加する作業セッションから始まります。 F5 コンサルタントは、既存のコンテキストと目標のデータ収集と公平な分析を推進し、推奨事項とベストプラクティスを提供し、徹底的な検討を行って高レベルの設計と実装戦略を策定します。

初日の終わりに、F5 コンサルタントが調査結果と推奨事項をまとめたレポートを作成します。

ステップ 2: ポリシーの作成と実装

このステップでは、ポリシーを作成し、それを仮想サーバに適用して、特定の Webapplicationをカバーします。一度に実行することも、選択したポリシー実装戦略に合わせて個別のサブタスクに分割することもできます。

たとえば、迅速な導入方法を使用した顧客テストベッドへのポリシー実装は 1 回のセッションで実行できますが、自動ポリシービルダーを使用したポリシーの生成 (つまり、長期間にわたって「実際の」トラフィックを検査できる場合) は、基本ポリシーを設定するための 1 つのサブタスクと、後でポリシーの調整とブロッキングモードへの移行を実行するための別のサブタスクに分割できます。

結論

関連する専門知識と経験を備えた熟練したコンサルタントによるライブサポートは、WAF サービスの導入プロジェクトを正しい方向に導き、 Advanced WAF の所有者が知識に基づいた効率的な意思決定を行うための最善のソリューションであることが非常によく証明されています。

BIG-IP Advanced WAF Launchpad サービスの詳細については、 F5 Professional Servicesにお問い合わせください。