Citrix ADC

Citrix Web App Firewall

次のトピックでは、Citrix Web AppFirewall機能のインストールと構成の詳細について説明します。

   
はじめに Web セキュリティの概要と Web App Firewall しくみ。
構成 Webサイト、Webサービス、またはWeb2.0サイトを保護するようにWebAppFirewallを構成する方法。
署名 シグニチャに関する詳細な説明と、サポートされている脆弱性スキャンツールからシグニチャを構成する方法、および例を使用して独自のシグニチャを定義する方法。
セキュリティー検査の概要 構成情報と例を含む、Web AppFirewallのセキュリティチェックの詳細な説明。
プロファイル Web App Firewall でのプロファイルの構成方法および使用方法の説明。
ポリシー Web App Firewall の設定時にポリシーがどのように使用されるかを説明し、便利なポリシーの例も示します。
インポート Web App Firewall でさまざまな種類のインポートされたファイルを使用する方法、およびファイルのインポートとエクスポートの方法の説明。
グローバル設定 すべてのプロファイルに適用される Web App Firewall 機能の説明、およびそれらの設定方法。
使用例 特定の種類のより複雑なWebサイトおよびWebサービスを最適に保護するためにWebAppFirewallを設定する方法を示す拡張例。
ログ、統計、およびレポート Web App Firewallのログ、統計、およびレポートにアクセスして使用する方法。WebAppFirewallの構成に役立ちます。

Citrix Web App Firewall では、さまざまなアプリケーションセキュリティ要件を満たすように簡単に構成できます。一連のセキュリティチェックで構成される Web App Firewall プロファイルを使用して、詳細なパケットレベルの検査を行うことで、要求と応答の両方を保護できます。各プロファイルには、基本保護または高度な保護を選択するオプションがあります。保護によっては、他のファイルの使用が必要になる場合があります。たとえば、XML 検証チェックでは、WSDL ファイルまたはスキーマファイルが必要な場合があります。プロファイルでは、署名やエラーオブジェクトなどの他のファイルも使用できます。これらのファイルはローカルで追加することも、事前にインポートして将来使用するためにアプライアンスに保存することもできます。

各ポリシーはトラフィックのタイプを識別し、そのトラフィックは、ポリシーに関連付けられたプロファイルに指定されたセキュリティチェック違反がないか検査されます。ポリシーは、ポリシーのスコープを決定する異なるバインドポイントを持つことができます。たとえば、特定の仮想サーバにバインドされているポリシーが呼び出され、その仮想サーバを通過するトラフィックだけが評価されます。ポリシーは、指定された優先順位に従って評価され、要求または応答に一致する最初のポリシーが適用されます。

  • Web App Firewall 保護の迅速な展開

    Web App Firewall セキュリティをすばやく展開するには、次の手順を使用します。

    1. Web App Firewallプロファイルを追加し、アプリケーションのセキュリティ要件に適したタイプ(html、xml、JSON)を選択します。
    2. 必要なセキュリティレベル (基本または詳細) を選択します。
    3. 署名や WSDL などの必要なファイルを追加またはインポートします。
    4. ファイルを使用するようにプロファイルを設定し、その他の必要な変更をデフォルト設定に加えます。
    5. このプロファイルにWebAppFirewallポリシーを追加します。
    6. ポリシーをターゲットのバインドポイントにバインドし、優先順位を指定します。
  • Web App Firewall エンティティ

    Profile:Web App Firewall プロファイルは、検索対象と何をすべきかを指定します。要求と応答の両方を検査して、チェックする必要のある潜在的なセキュリティ違反と、トランザクションの処理時に実行する必要のあるアクションを決定します。プロファイルは、HTML、XML、またはHTMLとXMLのペイロードを保護できます。アプリケーションのセキュリティ要件に応じて、基本プロファイルまたは詳細プロファイルのいずれかを作成できます。基本プロファイルは、既知の攻撃から保護できます。より高いセキュリティが必要な場合は、高度なプロファイルをデプロイして、アプリケーションリソースへの制御されたアクセスを許可し、ゼロデイ攻撃をブロックできます。ただし、基本プロファイルを変更して高度な保護を提供することはできますが、その逆も可能です。複数のアクション (ブロック、ログ、学習、変換など) を選択できます。高度なセキュリティチェックでは、セッション Cookie と非表示のフォームタグを使用して、クライアント接続の制御と監視を行うことができます。Web App Firewall プロファイルは、トリガーされた違反を学習し、緩和ルールを提案できます。

    基本保護:基本プロファイルには、開始 URL および拒否 URL 緩和ルールの事前構成済みセットが含まれます。これらの緩和ルールは、どの要求を許可し、どの要求を拒否する必要があるかを決定します。着信要求はこれらのリストと照合され、設定されたアクションが適用されます。これにより、ユーザーはリラクゼーションルールの最小構成でアプリケーションを保護することができます。開始 URL ルールは、強制的な閲覧から保護します。ハッカーによって悪用される既知の Web サーバーの脆弱性は、デフォルトの [拒否 URL] ルールのセットを有効にすることで検出およびブロックできます。バッファオーバーフロー、SQL、クロスサイトスクリプティングなど、一般的に起動される攻撃も簡単に検出できます。

    Advanced Protections:名前が示すように、高度な保護は、より高いセキュリティ要件を持つアプリケーションに使用されます。リラクゼーションルールは、特定のデータのみへのアクセスを許可し、残りのデータをブロックするように構成されています。この肯定的なセキュリティモデルは、基本的なセキュリティチェックでは検出されない可能性のある未知の攻撃を軽減します。すべての基本的な保護に加えて、高度なプロファイルは、ブラウジングの制御、クッキーのチェック、さまざまなフォームフィールドの入力要件の指定、フォームの改ざんやクロスサイトリクエスト偽造攻撃からの保護によって、ユーザーセッションを追跡します。トラフィックを監視し、適切な緩和を展開するラーニングは、多くのセキュリティチェックでデフォルトで有効になっています。使いやすいが、高度な保護は、セキュリティを強化するだけでなく、より多くの処理を必要とし、パフォーマンスに影響を与えることができるキャッシュの使用を許可しないため、十分に考慮する必要があります。

    インポート:インポート機能は、Web App Firewall プロファイルで外部ファイル、つまり外部または内部 Web サーバーでホストされているファイル、またはローカルマシンからコピーする必要がある場合に役立ちます。ファイルをインポートしてアプライアンスに保存すると、特に外部Webサイトへのアクセスを制御する必要がある場合、コンパイルに時間がかかる場合、大きなファイルをHAデプロイメント間で同期する必要がある場合、または次の方法でファイルを再利用できる場合に便利です。複数のデバイス間でコピーします。次に例を示します:

    • 外部 Web サーバーでホストされている WSDLは、外部 Web サイトへのアクセスをブロックする前にローカルにインポートできます。
    • Cenzicなどの外部スキャンツールで生成された大きな署名ファイルは、Citrix アプライアンスのスキーマを使用してインポートおよびプリコンパイルできます。
    • カスタマイズされた HTML または XML エラーページは、外部 Web サーバーからインポートすることも、ローカルファイルからコピーすることもできます。

    署名:シグニチャは、パターンマッチングを使用して悪意のある攻撃を検出し、トランザクションのリクエストとレスポンスの両方をチェックするように構成できるため、強力です。これらは、カスタマイズ可能なセキュリティソリューションが必要な場合に推奨されるオプションです。シグニチャの一致が検出されたときに実行するアクションには、複数の選択肢(ブロック、ログ、学習、変換など)を使用できます。Web App Firewall には、1,300 を超えるシグニチャルールで構成される既定のシグニチャオブジェクトが組み込まれており、自動更新機能を使用して最新のルールを取得することもできます。他のスキャンツールで作成されたルールもインポートできます。シグニチャオブジェクトは、Web AppFirewallプロファイルで指定された他のセキュリティチェックと連携できる新しいルールを追加することでカスタマイズできます。シグニチャルールは複数のパターンを持つことができ、すべてのパターンが一致する場合にのみ違反にフラグを立てることができるため、誤検出を回避できます。ルールのリテラル fastmatch パターンを注意深く選択すると、処理時間を大幅に最適化できます。

    ポリシー:Web App ファイアウォールポリシーは、トラフィックをフィルタリングし、異なるタイプに分割するために使用されます。これにより、アプリケーションデータに対してさまざまなレベルのセキュリティ保護を実装する柔軟性が得られます。機密性の高いデータへのアクセスは高度なセキュリティチェック検査に向けることができ、機密性の低いデータは基本レベルのセキュリティ検査によって保護されます。ポリシーは、無害なトラフィックのセキュリティチェック検査をバイパスするように設定することもできます。セキュリティを高めるにはより多くの処理が必要となるため、ポリシーを慎重に設計するとともに、最適なパフォーマンスを実現できます。ポリシーの優先度によって評価される順序が決まり、バインドポイントによってアプリケーションのスコープが決まります。

ハイライト

  1. さまざまなタイプのデータを保護し、さまざまなリソースに対して適切なレベルのセキュリティを実装し、パフォーマンスを最大限に引き出すことで、幅広いアプリケーションを保護できます。
  2. セキュリティ構成を追加または変更する柔軟性。基本保護と高度な保護を有効または無効にすることで、セキュリティチェックを強化または緩和できます。
  3. HTMLプロファイルをXMLまたはWeb2.0に変換するオプション (HTML+XML) プロファイルと逆に、さまざまなタイプのペイロードにセキュリティを追加する柔軟性を提供します。
  4. 簡単にデプロイされたアクションにより、攻撃をブロックしたり、ログで監視したり、統計情報を収集したり、攻撃文字列を変換して無害にします。
  5. 着信要求を検査して攻撃を検出し、サーバーから送信された応答を検査することによって機密データの漏えいを防止する機能。
  6. トラフィックパターンから学習して、簡単に編集可能な緩和ルールに関する推奨事項を取得でき、例外を許可するように展開できます。
  7. ハイブリッドセキュリティモデル。カスタマイズ可能なシグニチャのパワーを適用して、特定のパターンに一致する攻撃をブロックし、基本または高度なセキュリティ保護に対してポジティブセキュリティモデルチェックを使用する柔軟性を提供します。
  8. PCI-DSS 準拠に関する情報を含む、包括的な設定レポートの可用性。
Citrix Web App Firewall