BIG-IP ASMについて① ASM概要
1.BIG-IP ASM概要
1.1.ASMの概要
BIG-IPは様々なモジュールをインストールすることで、様々な機能を実装することが可能です。その中でもASM(Application Security Firewall)はWAF(Web Applicaiton Firewall)のモジュールとなります。
名称からわかるようにWebを脅威から守るための装置です。近年増加しているWebサイトのセキュリティ脅威増加の対策の一つとして使用します。
例として以下の脅威から守ることが可能です。
- L7 DoS/DDoS
- ブルートフォースアタック
- ウェブスクレイピング
- ボットによるトラフィック
- 秘匿情報の取得やコンテンツの汚染を目的としたSQLインジェクション
- サービス停止やシェルアクセス、ワーム増殖を目的としたアプリケーションメモリの悪用
- クロスサイトリクエストフォージェリ
- コンテンツの改竄
- Webアプリケーションのサービス停止、遅延
- クッキーなどの操作
- ゼロデイ攻撃
- 不審なIPアドレスや地域からのアクセス
- バッファオーバーフロー
- クロスサイト・スクリプティング
1.2.ASMのモード
これらの内容はWAFを導入している企業全般に言えることですが、運用が非常に大変です。セキュリティの脆弱性を突いた攻撃は日々増加しており、それらに対応するためにASMではシグネチャをF5社から取得し、適用が可能です。(平均6週間に一度、現在2000程度のシグネチャが用意)
これらのシグネチャをすべて割り当てればいいわけではありません。適用した結果、誤検知により正常なWeb通信を止めてしまう可能性があるからです。
一般的にWAFを導入する際は暫定的なポリシーを適用し、トランスペアレントモードで1ヶ月ほど運用することが多いです。このモードでは通信に対してセキュリティポリシーで検査を行いますが、通信を遮断することはありません。ログに出力のみ行わせておき、「正常な通信ではこのシグネチャが通信を止めてしまうな」といった判断を人の手を介して行います。1ヶ月後に正常な通信が行えるようにセキュリティポリシーをチューニングして、ブロッキングモードに変更することで通信の遮断を行います。
2.セキュリティポリシーの種類
ASMはセキュリティポリシーを使用してシステムを保護します。保護ルールを定義したものをセキュリティポリシーといい、ポリシーをバーチャルサーバに対して割り当てることで、複数のWebサーバに対して異なるポリシーを割り当てることが可能です。
セキュリティポリシータイプ | 用途 |
---|---|
Automatic security policy | システムがトラフィックを調査し、トラフィックの統計分析とアプリケーションの動作に基づいてポリシーを作成します。ポリシーを手動で変更することもできます。 |
Manual security policy | 「rapid deployment」または「 an application-ready security policy (pre-configured template) 」を使用しポリシーを作成すると、手動でポリシーのチューニングが可能です。初期設定だと基本的なポリシーのみ作成し、チューニングを行います。 |
Security policy integrated with vulnerability assessment tool | WhiteHat Sentinel、IBM®AppScan®、Trustwave®App Scanner(Cenzic)、Qualys®、QuotiumSeeker®、HP WebInspectなどの脆弱性評価ツールからの出力を統合してセキュリティポリシーを作成します。インポートされた脆弱性レポートの結果に基づいて、Application Security Manager™はWebサイトの脆弱性を自動的に軽減するポリシーを作成します。ポリシーを確認して微調整することもできます。 |
Parent security policy | 複数のセキュリティポリシーの基礎となるセキュリティポリシーを作成します。類似のアプリケーションが複数ある場合に便利です。親ポリシーの設定は、子ポリシーに継承されます。親ポリシーを調整することによって、子ポリシーも変更されます。 |
Child security policy | 親セキュリティポリシーに基づくセキュリティポリシーを作成します。子ポリシーを作成すると、設定の値は親から継承されます。一部の設定は編集でき、その他の設定は親ポリシーでのみ変更できます。 |
Template security policy | テンプレートを使用して、新しいポリシーを設定します。テンプレートはポリシーの作成時にのみ使用されます。親ポリシーとは異なり、テンプレートは作成後のポリシーには影響しません。 |
3.セキュリティポリシーの作成準備
セキュリティポリシーを作成する前に、保護対象のアプリケーションと、それを保護することの理由を理解しておく必要があります。
以下の点をセキュリティポリシー作成前に確認しておく必要があります。
- どのくらい厳密なポリシーを作成するか。
- 保護したいアプリケーションはいくつあるか。複数のアプリケーションを保護する場合、それらは差異があるのか。(一つのポリシーを使い回せるか、それぞれのアプリケーションで別々のポリシーを定義する必要があるか。)
- 親ポリシーから制御したい機能はあるか。ポリシーは、親ポリシーから設定を継承が可能である。
- どのくらいのトラフィックを想定しているか、アプリケーションがどのプロトコルを使用するか。HTTPSを使用する場合、セキュリティの検査を行うためにはSSLの終端が必要になるため、BIG-IPの型番からきちんと検討が必要になる。
- アプリケーションには、たくさんのパラメータとURLが関連付けられているか。
厳密なセキュリティポリシーは、アプリケーションの変更に影響されるため、維持するために時間と稼働がかかることが多いです。一方で基本的なポリシーでは、複数のアプリケーションに適用した場合でも、メンテナンスは少なく済みます。
4.まとめ
おまけ
GartnerにおけるWAF市場調査の結果です。(2018年分)
以下のURLからダウンロードが可能です。ただし、登録が必要となります。
Gartner Magic Quadrant for Web Application Firewalls | Resource Center | Imperva
図だけですと以下ページから確認可能です。(Impervaのページですが)
Imperva Recognized as a 2018 Gartner Magic Quadrant WAF Leader, Five Years Running | Imperva
上記内容の概略は以下です。
- 強み:様々なクラウドに対応しており、iRuleなどの機構により既存のユーザは本WAFを使用している。また、コミュニティが充実している。
- 弱み:コストが他の製品と比較して高い。Silverline®(F5によるSOC)が南アメリカ、中東、アフリカ、中国に存在していない。
コストはBIG-IPを提案する場合に必ず通る道です。機能ではあまりWAFは差異が出ないです。