WebアプリケーションファイアウォールまたはWAFは比較的新しい種類のファイアウォール。 IPアドレスとポートに基づいてトラフィックをブロックまたは許可するだけではありません。さらに一歩進んで、トラフィックを分析し、一連の事前定義されたビジネスルールに基づいて決定を下します。その名前が示すように、その主な目的はWebベースのアプリケーションを保護することです。 Webアプリケーションファイアウォールを選択するのは大変な作業です。クラウドベースのサービスまたはアプライアンスとして存在し、それぞれに利点と欠点があります。だからこそ、この10のベストWebアプリケーションファイアウォールのリストをまとめました。さまざまなベンダーの製品機能を評価するのに役立ちます。
この記事では、最初にWebアプリケーションファイアウォール、それらが何であるか、どのような目的に役立つかについての議論。次に、クラウドベースのシステムとアプライアンスベースのシステムを比較し、それぞれの長所と短所をリストします。ご覧のとおり、これは単なる哲学的な選択以上のものです。 WAFの基本を説明したら、主題の核心に飛び込み、1つではなく2つのリストを提示します。最初に、 クラウドベースの最高の5つのWAF 次に、 最高の5つのWAFアプライアンス.
一言で言えばWAF
はじめにWebで述べたようにアプリケーションファイアウォールは特別な種類のデバイスです。標準のファイアウォールを使用した場合よりもはるかに優れたWebベースのアプリケーションを保護するために使用できます。典型的なWAFは、クロスサイトスクリプティング、Cookieポイズニング、Webスクレイピング、パラメーター改ざん、バッファオーバーフローなどのさまざまな種類の脆弱性から、Webサイトを保護します。
ベースとなる従来のファイアウォールとは異なりIPアドレスやポート番号などの単純なパラメーターでトラフィックを許可またはブロックするという決定は、ほとんどの場合、HTMLデータの詳細な分析に基づいて決定されます。悪意のある行動パターンを認識しようとするリクエストを調べます。また、HTTPSトラフィックを解読して、暗号化されたパケットに悪意のあるコードが挿入されないようにします。 Webアプリケーションファイアウォールは、既知のマルウェアシグネチャを監視しますが、不正な要求や非標準の要求をインターセプトして、可能な限り最高の保護を実現します。
単独で、Webアプリケーションファイアウォールは提供します高度な保護ですが、それを標準ファイアウォールやウイルス保護ソフトウェアなどの他の保護システムとバンドルすると、多くの脅威に対して最高のカバレッジが得られます。これまで以上に、ネットワーク管理者はマルウェア防止に総合的なアプローチを採用する必要があります。
クラウドベースかアプライアンスか?
Webには本質的に2つのタイプがありますアプリケーションファイアウォール。 WAFはクラウドベースでも、アプライアンスとして実行することもできます。クラウドベースのWAFはベンダーによってホストされています。 Webサイトへのすべてのリクエストは、DNSの魔法により、実際のサイトに転送される前に検証されるWAFインスタンスにリダイレクトされます。
アプライアンスWAFはハードウェアデバイスです。 それらは特殊なコンピューターであり、通常、カスタムオペレーティングシステムとWebアプリケーションファイアウォールソフトウェアを実行する画面やキーボードなどのユーザーインターフェイスはありません。通常、これらはデータセンター内にインストールされ、従来のファイアウォールとWebサーバーの間に配置され、そこに向かう要求をインターセプトします。
クラウドベースのWAFの長所と短所
プラス面として、クラウドベースのソリューションにはベンダーによって処理されるため、メンテナンスは不要です。通常、これらのソリューションには、冗長性または高可用性機能が組み込まれています。ベンダーは通常、システムバックアップも処理します。別の利点は、多くの場合、WAFサービスを同じベンダーの他のサービスと組み合わせることができることです。たとえば、単一プロバイダーのコンテンツ配信機能とWAF機能を組み合わせて、シームレスに統合されたソリューションにすることができます。
ただし、クラウドベースのWAFにはいくつかの欠点もあります。 最も重要なことの1つは、多くのサービスの単一のプロバイダーであなたをロックできることです。 Webサイトへのすべてのトラフィックはクラウドプロバイダーにリダイレクトされる必要があるため、従来のファイアウォールなどの他のセキュリティサービスを使用する以外にオプションはほとんどありません。
WAFアプライアンスの長所と短所
WAFアプライアンスの主な利点は、次のことです。すべてを社内に保管してください。インフラストラクチャのあらゆる詳細を完全に制御できます。また、異なるベンダーの異なるコンポーネントを自由に選択できることも意味します。
マイナス面として、アプライアンスを使用するとは維持する必要があります。また、トラフィックが増加した場合はアップグレードする必要があります。ハードウェアソリューションを使用すると、すべての機器を最初から購入する必要があるため、初期費用がはるかに高くなります。最終的には、選択はユーザー次第ですが、最初に1つのタイプのインストールを選択するのではなく、特定のニーズに合わせてガイドする必要があります。
クラウドベースの最高の5つのWAF
5つのベストリストをまとめました可能性ベースのWebアプリケーションファイアウォール。彼らはすべて評判の良いサプライヤーからのものであり、あなたのお金に大きな価値を提供します。優れた製品であるため、他の製品よりも推奨することはできません。
1. Cloudflare WAF
Cloudflareは、DDoS攻撃からWebサーバーを保護します。そのサービスは、Webアプリケーションファイアウォールも備えています。このサービスにはすでに巨大な顧客ベースがあり、そのサーバーは現在1秒あたり300万件近くのリクエストを処理しています。 Cloudflareのウェブサイトにアクセスすると、最終日に4億以上のWAFルールがトリガーされたことがわかります。
クラウドを使用する主な利点の1つこのような幅広い顧客ベースのサービスでは、他のクライアントから取得したインテリジェンスを活用できます。たとえば、別のクライアントで攻撃の試みが検出された場合、新しい署名が作成され、すべてのクライアントに適用されます。 Cloudflareのソリューションのもう1つの利点は、コンテンツ配信とDDoS保護も提供することです。
2.アカマイコナサイトディフェンダー
アカマイはコンテンツ配信の世界的リーダーですシステム。長年にわたり、同社は製品にさらに機能を追加してきました。 Kona Site Defenderは、WAFが呼ばれているように、その1つです。 Webアプリケーションファイアウォールは、完全なDDoS保護を統合します。そしてもちろん、WAFサービスは、コンテンツ配信ネットワークなどの他のアカマイサービスと簡単に組み合わせることができます。トラフィックがアカマイにリダイレクトされると、それを利用して必要なだけのサービスを使用することもできます。
アカマイは、その規模と顧客ベースにより、しばしば他のベンダーよりも早く新しいエクスプロイトを発見します。 Kona Site Defenderユーザーは、この競争力の恩恵を受け、ゼロデイエクスプロイトのブロックを潜在的に改善することで、強力な保護を効果的に取得できます。
3. F5シルバーライン
F5は、BIG-IPでよく知られています。クラウドサービスよりもアプライアンス。一言で言えば、F5 Silverlineは、以下でレビューする同社の優れたBIG-IP ASMアプライアンスのオンラインバージョンです。管理されたサービスとして、またはF5が絶え間なく進化する脅威からWebアプリケーションとデータを保護するためのエクスプレスセルフサービスと呼ばれるものとして利用できます。サブスクリプションの有効期間は1年または3年です。サービスには24時間のライブサポートが含まれています。
このクラウドベースのサービスの1つの大きな利点分散型またはクラウドホスト型のインフラストラクチャを保護できるということです。保護にはレイヤー7 DDoSシールドが含まれ、Torネットワークの一部であるような匿名化されたアドレスもブロックします。システムは、既知のフィッシング詐欺師とWebスクレイパーのライブブラックリストも使用します。また、このブラックリストはすべての顧客によって共有されているため、別のクライアントで得られたインテリジェンスを活用できます。
4.アマゾンウェブサービスWAF
アマゾンウェブサービスまたはAWSは広く知られているオンラインマーケットプレイスのクラウドベースのホスティングサービス。 Amazonの巨大な分散インフラストラクチャを活用して、ホスティングサービスを提供します。アマゾンウェブサービスのクライアントであれば、AWS WAFが最適かもしれません。 Amazon Web Serviceは、負荷分散とコンテンツ配信サービスも提供します。
アマゾンウェブサービスWAFの価格モデル他のベンダーとは異なります。事前に定義された金額を毎月支払う代わりに、サービスに追加するセキュリティルールごと、および毎月受信されるWeb要求の数ごとに請求されます。これの一番の利点は、将来の成長のためにすぐにお金を払う必要がないことです。また、季節のピークがある組織にとっても非常に興味深いものです。
5. Imperva Incapsula
ImpervaはITセキュリティにおけるもう1つの一般名ですフィールド。 IncapsulaクラウドベースWebアプリケーションファイアウォールImpervaのマネージドサービスは、すべてのOpen Web Application Security Projectトップ10攻撃およびゼロデイ脅威を含む、アプリケーションレイヤー攻撃から保護します。このサービスはPCI認定を受けており、高度にカスタマイズ可能です。また、非常に効果的であり、誤検知を最小限に抑えてほとんどの脅威をブロックします。
Incapsulaは、最も安価なクラウドベースのWAFの1つです。あなたが見つけることができるソリューション。プランは月額300ドルから始まります。 Incapsulaの優れた機能の1つは、より伝統的なWAFに加えて、システムがサーバーを調査し、見つかった問題に対処するパッチを送信して、Webアプリケーションの保護を強化することです。もちろん、運用上の影響を軽減するために、選択した任意の時点でパッチを適用するようにスケジュールできます。
私たちのトップ5ベストWAFアプライアンス
クラウドベースの上位5つのWAFソリューションと同様WAFアプライアンスの場合も同様です。彼らは、最も評判の高いセキュリティ機器ベンダーの一部です。前のリストと同様に、このリストには最高のものしかありません。 WAFアプライアンスのほとんどのベンダーもクラウドベースのサービスを提供していることに注意してください。
1. Imperva SecureSphere
Impervaは、それを作った2つのベンダーの1つです。両方のリストに入れます。 SecureSphere WAFは小規模なインストールを対象としています。彼らが提案するさまざまなユニットのスループットは、100 Mbpsから10 Gbpsまでさまざまです。1秒あたり440のSSLトランザクションを処理できる最小のものと、約9000の大きいものです。 1秒あたりのトランザクション数が4200ドルになります。
最上位モデルのいずれかを選択すると、次の大きなモデルにアップグレードできることを知ってうれしいです。たとえば、X821をX 10Kにアップグレードして、容量を事実上2倍にすることができます。アップグレードには、適切なソフトウェアパッチとライセンスの購入のみが必要です。高価なハードウェアのアップグレードは必要ありません。
2. Barracuda Web Application Firewall
バラクーダは、ITセキュリティの分野。中小規模の組織に最適な優れたWAFソリューションを提案しています。 Barracudaアプライアンスは競合他社のものよりも多少高価ですが、1年間の無料アップデートが付属しています。また、更新については、新しい脅威が特定されるたびに頻繁に行われます。
Barracuda WAFアプライアンスには、いくつかの追加機能があります特徴。たとえば、コンテンツ配信を高速化するためのキャッシングを提供します。複数のサーバー間の負荷分散も利用可能な機能です。完全なDDoS保護を追加することもできます。他のほとんどのWAFアプライアンスと同様に、Barracuda WAAFにはいくつかのサイズがあります。モデル360のような平均的なデバイスでは約6350ドルかかり、25 Mbpsのスループットと1秒あたり2000のSSLトランザクションが得られます。
3. Citrix Netscaler Application Firewall
Citrix Netscalerは非常に人気のある負荷ですバランシングアプライアンス。既にそれらを使用している場合は、それらの一部をWebアプリケーションファイアウォールとして使用することもできます。この機能は、最上位のNetSclaer MPXアプライアンスまたはNetScaler Cloud Serviceでのみ利用可能です。さらに、無料で入手するには最上位のプラチナライセンスを購入する必要がありますが、エンタープライズライセンスのオプションとしても利用できます。
NetScaler WAFの最大の利点は最先端の負荷分散とセキュリティを1つのボックスで取得できます。これはプレミアムシステムであり、プレミアム価格で提供されます。 500 Mbpsのスループットと1秒あたり最大1500のSSLトランザクションを備えた最小モデルのMPX 5550で約4000ドルを支払うことができます。
4.フォーティネットFortiWeb
フォーティネットのFortiWebアプライアンスの方が優れています小規模から中規模の組織に適しています。アプライアンスは、WAF、ロードバランシング、およびSSLオフロード機能を統合します。 FortiWebアプライアンスの最良かつ最新の機能の1つは、攻撃検出の精度を向上させる2ステップのAIベースの機械学習です。 「設定して忘れる」ウェブアプリケーションファイアウォールをほぼ作成します。
FortiWebアプライアンスはあなたを保護します最新のアプリケーションの脆弱性、ボット、疑わしいURLからのインフラストラクチャ。また、デュアルマシンラーニング検出エンジンは、SQLインジェクション、クロスサイトスクリプティング、バッファオーバーフロー、Cookieポイズニング、悪意のあるソース、DDoS攻撃など、あらゆる種類の脅威からアプリケーションを安全に保ちます。選択可能なFortiWebモデルは8種類あり、それぞれ容量が増加しています。 25 Mbpsのエントリーレベルの100Dから、20Gbpsのスループットを備えた最上位モデルの4000Eまであります。
5. F5 BIG-IPアプリケーションセキュリティマネージャー(ASM)
最後になりましたが、F5 BIG-IP ASMアプライアンスです。 F5をCitrixの主要なライバルの1つとして知っているかもしれません。彼らは一流のロードバランサーで有名です。これは、大企業を対象とするアプライアンスです。
F5 BIG-IP ASM脅威保護では、深い脅威分析と動的学習の場合、実行する構成はほとんどありませんが、インフラストラクチャが適切に保護されていることを確認できます。 F5 BIG-IP ASMのもう1つの興味深い機能は、SSLオフロードです。デバイスはSSL暗号化と復号化をオンザフライで処理するため、WebサーバーはWebページを提供するベストなことに集中できます。
結論として
選ぶべき非常に多くの製品とサービスでから、適切なWAFソリューションを選択することはほんの一握りになります。これらは高価なシステムであり、多くの場合、正しくセットアップおよび構成するにはかなりの労力とトレーニングが必要です。これはおそらく、多くの異なる製品を試すためだけに2回やりたいとは思わないでしょう。ニーズと成長予測を正確に特定し、自分に最適なWAFを選択できるようになります。
コメント