Citrix ADC

Citrix Web App Firewall

以下のトピックでは、Citrix Web App Firewall 機能のインストールと構成について説明します。

   
はじめに Web セキュリティの概要と Web App Firewall しくみ。
構成 Web サイト、Web サービス、または Web 2.0 サイトを保護するようにWeb App Firewallを構成する方法。
署名 シグニチャ機能の詳細、およびシグニチャの設定、サポートされている脆弱性スキャンツールからのシグニチャの追加、独自のシグニチャの定義方法の例を示します。
セキュリティー検査の概要 Web App Firewall のすべてのセキュリティー検査の詳細と、構成情報と例が記載されています。
プロファイル Web App Firewall でのプロファイルの構成方法および使用方法の説明。
ポリシー Web App Firewall の設定時にポリシーがどのように使用されるかを説明し、便利なポリシーの例も示します。
インポート Web App Firewall でさまざまな種類のインポートされたファイルを使用する方法、およびファイルのインポートとエクスポートの方法の説明。
グローバル設定 すべてのプロファイルに適用される Web App Firewall 機能の説明、およびそれらの設定方法。
使用例 特定のタイプのより複雑な Web サイトや Web サービスを最適に保護するために Web App Firewall を設定する方法を示す拡張例。
ログ、統計、およびレポート Web App Firewall ログ、統計情報、レポートにアクセスして使用する方法。Web App ファイアウォールの構成に役立ちます。

Citrix Web App Firewall では、さまざまなアプリケーションセキュリティ要件を満たすように簡単に構成できます。一連のセキュリティチェックで構成される Web App Firewall プロファイルを使用して、詳細なパケットレベルの検査を行うことで、要求と応答の両方を保護できます。各プロファイルには、基本保護または高度な保護を選択するオプションがあります。保護によっては、他のファイルの使用が必要になる場合があります。たとえば、XML 検証チェックでは、WSDL ファイルまたはスキーマファイルが必要な場合があります。プロファイルでは、署名やエラーオブジェクトなどの他のファイルも使用できます。これらのファイルはローカルで追加することも、事前にインポートして将来使用するためにアプライアンスに保存することもできます。複数のプロファイルで共有できます。

プロファイルは、Web App Firewall ポリシーと連動して機能します。各ポリシーはトラフィックのタイプを識別し、そのトラフィックは、ポリシーに関連付けられたプロファイルに指定されたセキュリティチェック違反がないか検査されます。ポリシーは、ポリシーのスコープを決定する異なるバインドポイントを持つことができます。たとえば、特定の仮想サーバにバインドされているポリシーが呼び出され、その仮想サーバを通過するトラフィックだけが評価されます。ポリシーは、指定された優先順位に従って評価され、要求または応答に一致する最初のポリシーが適用されます。

  • Web App Firewall 保護の迅速な展開

    Web App Firewall セキュリティをすばやく展開するには、次の手順を使用します。

    1. appfw プロファイルを追加し、アプリケーションのセキュリティ要件に適したタイプ (html、xml、JSON) を選択します。
    2. 必要なセキュリティレベル (基本または詳細) を選択します。
    3. 署名や WSDL などの必要なファイルを追加またはインポートします。
    4. ファイルを使用するようにプロファイルを設定し、その他の必要な変更をデフォルト設定に加えます。
    5. このプロファイルの appfw ポリシーを追加します。
    6. ポリシーをターゲットのバインドポイントにバインドし、優先順位を指定します。
  • Web App Firewall エンティティ

    プロファイル-Web App Firewall プロファイルで、検索対象と処理を指定します。リクエストとレスポンスの両方を検査して、どのセキュリティ違反をチェックすべきか、トランザクションの処理時にどのようなアクションを実行すべきかを判断します。プロファイルは、HTML、XML、または HTML および XML ペイロードを保護できます。アプリケーションのセキュリティ要件に応じて、基本プロファイルまたは詳細プロファイルのいずれかを作成できます。基本プロファイルは、既知の攻撃から保護できます。より高いセキュリティが必要な場合は、高度なプロファイルをデプロイして、アプリケーションリソースへの制御されたアクセスを許可し、ゼロデイ攻撃をブロックできます。ただし、基本プロファイルは、高度な保護を提供するように変更できます。また、その逆も同様です。複数のアクション (ブロック、ログ、学習、変換など) を選択できます。高度なセキュリティチェックでは、セッション Cookie と非表示のフォームタグを使用して、クライアント接続の制御と監視を行うことができます。Web App Firewall プロファイルは、トリガーされた違反を学習し、緩和ルールを提案できます。

    基本的な保護-基本プロファイルには、開始URL緩和ルールと拒否URL緩和ルールの事前設定セットが含まれます。これらの緩和規則によって、許可する要求と拒否する要求が決まります。着信要求はこれらのリストと照合され、設定されたアクションが適用されます。これにより、ユーザーはリラクゼーションルールの最小構成でアプリケーションを保護することができます。開始 URL ルールは、強制的な閲覧から保護します。ハッカーによって悪用される既知の Web サーバーの脆弱性は、デフォルトの [拒否 URL] ルールのセットを有効にすることで検出およびブロックできます。バッファオーバーフロー、SQL、クロスサイトスクリプティングなど、一般的に起動される攻撃も簡単に検出できます。

    高度な保護-名前が示すように、高度な保護は、より高いセキュリティ要件を持つアプリケーションに使用されます。リラクゼーションルールは、特定のデータのみへのアクセスを許可し、残りのデータをブロックするように構成されています。この肯定的なセキュリティモデルは、基本的なセキュリティチェックでは検出されない可能性のある未知の攻撃を軽減します。すべての基本的な保護に加えて、高度なプロファイルは、ブラウジングの制御、クッキーのチェック、さまざまなフォームフィールドの入力要件の指定、フォームの改ざんやクロスサイトリクエスト偽造攻撃からの保護によって、ユーザーセッションを追跡します。トラフィックを監視し、適切な緩和を展開するラーニングは、多くのセキュリティチェックでデフォルトで有効になっています。使いやすいが、高度な保護は、セキュリティを強化するだけでなく、より多くの処理を必要とし、パフォーマンスに影響を与えることができるキャッシュの使用を許可しないため、十分に考慮する必要があります。

    インポート-インポート機能は、Web App Firewall プロファイルで外部ファイル (外部または内部 Web サーバーでホストされているファイル) を使用する必要がある場合、またはローカルマシンからコピーする必要がある場合に便利です。ファイルをインポートしてアプライアンスに保存することは、特に外部 Web サイトへのアクセスを制御する必要がある場合や、コンパイルに時間がかかる場合や、HA 展開間で大きなファイルを同期する必要がある場合や、複数のデバイス間でファイルをコピーして再利用できる場合に、非常に便利です。例:

    • 外部 Web サーバーでホストされている WSDLは、外部 Web サイトへのアクセスをブロックする前にローカルにインポートできます。
    • Cenzicなどの外部スキャンツールで生成された大きな署名ファイルは、Citrix アプライアンスのスキーマを使用してインポートおよびプリコンパイルできます。
    • カスタマイズされた HTML または XML エラーページは、外部 Web サーバーからインポートすることも、ローカルファイルからコピーすることもできます。

    署名-シグニチャは非常に強力です。これは、パターンマッチングを使用して悪意のある攻撃を検出し、トランザクションの要求と応答の両方をチェックするように設定できるためです。これらは、カスタマイズ可能なセキュリティソリューションが必要な場合に推奨されるオプションです。シグニチャの一致が検出されたときに実行するアクションには、複数の選択肢(ブロック、ログ、学習、変換など)を使用できます。Web App Firewall には、1,300 を超えるシグニチャルールで構成される既定のシグニチャオブジェクトが組み込まれており、自動更新機能を使用して最新のルールを取得することもできます。他のスキャンツールで作成されたルールもインポートできます。シグニチャオブジェクトは、新しいルールを追加することでカスタマイズできます。このルールは、Web App Firewall プロファイルで指定された他のセキュリティチェックと連動して機能します。シグニチャルールは複数のパターンを持つことができ、すべてのパターンが一致する場合にのみ違反にフラグを立てることができるため、誤検出を回避できます。ルールに対してリテラルファストマッチパターンを慎重に選択すると、処理時間を大幅に最適化できます。

    ポリシー-Web App Firewallポリシーを使用して、トラフィックをフィルタリングし、異なるタイプに分離します。これにより、アプリケーションデータに対してさまざまなレベルのセキュリティ保護を実装する柔軟性が得られます。機密性の高いデータへのアクセスは高度なセキュリティチェック検査に向けることができ、機密性の低いデータは基本レベルのセキュリティ検査によって保護されます。ポリシーは、無害なトラフィックのセキュリティチェック検査をバイパスするように設定することもできます。セキュリティを高めるにはより多くの処理が必要となるため、ポリシーを慎重に設計するとともに、最適なパフォーマンスを実現できます。ポリシーの優先度によって評価される順序が決まり、バインドポイントによってアプリケーションのスコープが決まります。

ハイライト

  1. さまざまなタイプのデータを保護し、さまざまなリソースに対して適切なレベルのセキュリティを実装し、パフォーマンスを最大限に引き出すことで、幅広いアプリケーションを保護できます。
  2. セキュリティ構成を追加または変更する柔軟性。基本保護と高度な保護を有効または無効にすることで、セキュリティチェックを強化または緩和できます。
  3. HTMLプロファイルをXMLまたはWeb2.0(HTML+XML)プロファイルと逆に変換するオプション、ペイロードの異なるタイプのセキュリティを追加するための柔軟性を提供します。
  4. 簡単にデプロイされたアクションにより、攻撃をブロックしたり、ログで監視したり、統計情報を収集したり、攻撃文字列を変換して無害にします。
  5. 着信要求を検査して攻撃を検出し、サーバーから送信された応答を検査することによって機密データの漏えいを防止する機能。
  6. トラフィックパターンから学習して、簡単に編集可能な緩和ルールに関する推奨事項を取得でき、例外を許可するように展開できます。
  7. ハイブリッドセキュリティモデル。カスタマイズ可能なシグニチャのパワーを適用して、特定のパターンに一致する攻撃をブロックし、基本または高度なセキュリティ保護に対してポジティブセキュリティモデルチェックを使用する柔軟性を提供します。
  8. PCI-DSS 準拠に関する情報を含む、包括的な設定レポートの可用性。

Citrix Web App Firewall