技術概要:Citrix WebアプリケーションとAPI保護サービス

はじめに

企業は、パンデミックをきっかけに、在宅勤務者の仕事をより良くサポートするために、WebアプリとAPIをクラウドに移行し続けています。同時に、オンプレミスまたはプライベートクラウドでホストされるビジネスクリティカルなウェブアプリを引き続きサポートします。これらのインターネット向けサービスの増加に伴い、インターネットを介した脅威も増加しています。

悪役は、違法行為を支援するために妥協する新しい方法を開発し続けています。アプリケーションを攻撃から保護するには、脅威を迅速に特定し、対策を開始する必要があります。Citrix WebアプリケーションおよびAPI保護(CWAAP)サービスは、オンプレミスのモノリシックアプリケーションまたはクラウド内のマイクロサービスに対して、一貫したセキュリティ体制と包括的な保護を提供します。

概要

CWAAPサービスは、オンラインのエンタープライズWebアプリ、API、およびデータを盗み出し、操作、または破壊しようとする試みから保護します。これには、ビジネスクリティカルな運用に対するリスクを軽減するための包括的なテクノロジスイートが含まれています。

  • Webアプリケーションファイアウォール-Webアプリケーションファイアウォールの略で、「WAF」オリジンは、オンプレミスでホストされているWebサイトの保護にあります。しかし、クラウド時代には、WAFの範囲は、保護すべき攻撃対象範囲が広いハイブリッドクラウドまたはパブリッククラウド環境に拡大されています。保護は、コンテナ内で独立して動作する分散機能間で通信するためにクラウドネイティブシステムによって使用されるAPIにも拡張されます。マイクロサービスとも呼ばれるこの形式の開発は、従来のモノリシックアーキテクチャよりも多くの点で効率的ですが、本質的に主にクラウドでホストされ、その後、APIは攻撃に対して脆弱です。
  • DDOS保護-分散型サービス拒否 (DDOS) 保護は、クラウドサービスへのアクセスを妨害しようとするインターネットからの攻撃から保護します。DDOS攻撃は通常、BOT軍を通じて悪意のある人物によって開始され、顧客のアクセスが中断または拒否されるまで、利用可能なリソースを消費することに重点を置いています。

CWAAP

WAF 保護

クラウドまたはオンプレミスでホストされるCitrix WAFは、アプリケーションレイヤーやゼロデイ脅威など、既知および未知の攻撃から保護します。 OWASP Foundationによって定義されたトップ10のWebアプリケーションセキュリティリスクに対する保護を中核とし、複数の脅威調査ソースからのセキュリティ定義と対策が絶えず拡大しているリスクを拡張しています。

大企業では、セキュリティ保護が必要な数百または数千のアプリケーションがオンラインにある場合があります。したがって、大規模なさまざまなアプリケーションへの固有のWebアプリフローに対する攻撃のマッチングは課題です。Citrix WAFは、インターネットを介した攻撃に対する保護を自動化し、トラフィックをクラウドまたはオンプレミスのエッジに維持します。絶え間ないオンラインの脅威を24時間検出して軽減します。これにより、セキュリティオペレーションは戦略的なセキュリティアクティビティにより重点を置き、インフラストラクチャ内の他の場所の脆弱性に対処できます。

Citrix WAFは、ポジティブ攻撃モデルとネガティブ攻撃モデルの両方で動作します。ポジティブモデルは、異常なアクティビティパターンを探すことによってゼロデイ脅威を特定します。ネガティブモデルは、以前に文書化された攻撃シグネチャを識別します。

ネガティブなセキュリティモデル

SQLやLDAPインジェクションなどのインジェクションの欠陥は、クロスサイトスクリプティング攻撃とともに、ハッカーの間で根強い人気がありました。その他の Web 攻撃対策には以下が含まれます。

コア

  • HTML SQL インジェクション-セキュリティを侵害する可能性のある不正な SQL コードのインジェクションに対する防御を提供します。
  • HTML クロスサイトスクリプティング-クロスサイトスクリプティング攻撃の可能性について、ユーザーリクエストのヘッダーと POST 本文の両方を調べます。
  • クロスサイトリクエストフォージェリ(CSRF)フォームタグ付け-保護された Web サイトからユーザーに送信される各 Web フォームに、一意で予測できない FormID のタグを付け、ユーザーから返された Web フォームを調べて、指定された FormID が正しいことを確認します。
  • バッファオーバーフローチェック-URL、Cookie、ヘッダーなど、設定された長さよりも長いバッファオーバーフローを引き起こす試みを検出します。

詳細設定

  • Cookieの一貫性-ユーザーから返されたCookieを調べ、保護されたWebサイトがそのユーザーに設定したCookieと一致することを確認します。変更された Cookie が見つかると、リクエストが Web サーバーに転送される前にリクエストから削除されます。
  • フィールドの一貫性-HTML 要求に応答してユーザーから返された Web フォームを調べ、構造に不正な変更が加えられていないことを検証します。
  • フィールド形式-長さや種類など、ユーザーが送信するデータを検証します。
  • Content-Type-Content-Type ヘッダーがいずれかの“application/x-www-form-urlencoded”, “multipart/form-data,” or “text/x-gwt-rpc”タイプであることを確認します。他のコンテンツタイプが指定されている要求はすべてブロックされます。
  • HTTP RFC-着信トラフィックの HTTP RFC プロトコル準拠を検査し、RFC 違反のある要求をすべてドロップします。
  • URL を拒否-ハッカーや悪意のあるコードがよくアクセスする URL への接続を調べてブロックします。
  • POST Body Limit-署名を検査するリクエストペイロード (バイト単位) を制限します。

XML

  • XML SQL インジェクション-XML ペイロードに SQL が注入されたユーザーリクエストを検査してブロックします。
  • XML XSS-XML ペイロードのクロスサイトスクリプティング攻撃でユーザーリクエストを検査してブロックします。
  • XML 形式-形式が正しくない、または正しく形式された XML ドキュメントの仕様を満たさない着信要求を検査してブロックします。
  • XML SOAP フォルト-保護された Web サービスからの応答を調べ、XML SOAP フォールトを除外します。これにより、機密情報が攻撃者に漏洩するのを防ぎます。
  • Web サービスの相互運用性-WS-I 標準に準拠しておらず、XML アプリケーションと適切にやり取りしない可能性のある要求と応答を調べてブロックします。

ポジティブなセキュリティモデル

Citrix WAFは、許可されたトラフィックのプロファイルを作成することにより、ネガティブモデルに基づいて構築される学習ルールを備えたポジティブ保護モデルをサポートしています。高度なヒューリスティックは、トラフィックを分析して標準的な動作を特定し、対策の調整に関する推奨事項を作成します。これにより、既存のシグネチャでは対処されていないゼロデイ攻撃に対する保護が保証されます。

DDOS 管理

DDOS攻撃は、リソース消費による混乱に焦点を当てています。DDOS 攻撃には主に 3 つのグループがあります。

  1. ボリュームベースの攻撃-大量のトラフィックでサイトを圧倒することにより、通常のサービスを中断させようとします。これには、利用可能な帯域幅を超えようとするUDPまたはICMPフラッドが含まれており、正当なユーザー要求がターゲットサイトに到達することを拒否します。
  2. プロトコルベースの攻撃-トランスポート層に焦点を当て、プロトコル操作を利用します。通常、パケットは「スプーフィング」されるか、偽のIPヘッダー情報とともに送信され、サイトリソースの消費に対する不正な応答が行われます。典型的な例は「SYN」攻撃です。このタイプの攻撃では、悪意のある攻撃者のホスト、またはBOTは、TCP層セッションを確立するための要求を送信します。TCPセッションは、正当なユーザーがWebサービスを使用するためのHTTPセッションを確立するために最終的に必要です。ただし、開始ホストはサイトの SYN ACK に応答しませんが、より多くの SYN を送信し、TCP セッションの確立を待機する間、Web サービスのメモリを安定して消費します。
  3. アプリケーション層攻撃-これらの攻撃はアプリケーション層に焦点を当て、リソースを克服するか、Webサーバーの脆弱性を利用しようとします。攻撃は、細工されたGETまたはPOSTとのプロトコル通信を操作することにより、不正な過剰なサイト応答を試みます。

Citrix DDoSソリューションは、DDOS保護の購入者に総合的なソリューションを提供します。常時稼働のDDoS攻撃管理サービスです。14個のPOPと12 Tbpsの容量を持つ世界最大のスクラビングネットワークの1つを備えており、大規模なボリュームDDoS攻撃からアプリケーションを保護します。

管理

CWAAPは、柔軟なSaaSポータルを通じて構成および管理されます。ブラウザからアクセスできるCWAAP Service Portalを使用すると、セキュリティ管理者は攻撃保護の設定、ダッシュボードによる攻撃アクティビティの監視、またはイベントのレポートを行うことができます。

セットアップ

CWAAPは、次の2つの方法のいずれかを使用してCitrix の助けを借りてセットアップされます。

  • DNS-DNSを使用するのが最も一般的で簡単な方法です。顧客は、サイトAのレコードを、サイトのCitrix CWAAPドメイン設定に転送します。この方法では、顧客はコントロールを維持し、レコードの低い TTL 設定を使用して迅速な移行をスケジュールできます。
  • BGP-BGPを使用するには、関連するルーティングブロックの制御をCitrix に移行する必要があります。次に、Citrix はお客様に代わってルートをアナウンスし、ブロックのないターゲットサイトへのトラフィックは検査のためにCWAAPに転送されます。

構成

CWAAP WAF ポリシーとカスタムルールは、SaaS ポータルで設定できます。

  • WAFポリシー-3つの主要なポリシーセットがあり、検出されると、管理者はそれらをブロック、ログ、またはその両方に設定できます。コアポリシーは、SQL インジェクション、クロスサイトスクリプティング、バッファオーバーフローなど、最も一般的なタイプの攻撃です。高度な攻撃は、クッキーを使用するか、HTTPプロトコルを利用しようとするより複雑な攻撃であり、最後のグループはXML固有の攻撃に関係します。攻撃を識別するシグネチャは、Citrix 調査チームによって継続的に開発され、公開されると自動的に更新されます。
  • レスポンダーポリシー-管理者は、ホスト名、送信元 IP アドレス、宛先ポートなどの特定のパラメーターに基づいて接続をドロップ、ログ、またはリダイレクトするカスタムルールを構成できます。
  • ネットワークコントロール-管理者は、特定の IP アドレス範囲または特定の国からのトラフィックをブロックするように ACL を設定できます。
  • アラート-管理者は、同じASN、国、ユーザーエージェントなどの特定のパラメーターから一定間隔内のトラフィック量を超えたときに、カスタムアラートを設定できます。
  • 信頼できるソース-管理者は、検査ポリシーをバイパスする信頼できるソースの許可リストを設定できます。
  • アセット-管理者は、これらの構成済みポリシーを適用するターゲットサイトを設定します。

CWAAP

監視

CWAAPポータルを使用すると、Citrix 管理者はCWAAP保護を一元的に監視できます。メインダッシュボードには、クリーンなトラフィックと軽減されたトラフィック別に分類された、総トラフィックを含むサイトボリュームの集計ビューが表示されます。

また、展開されたボリューム、期間、対策など、攻撃の詳細なログも含まれます。

CWAAP

概要

企業によるクラウドサービスとモバイルアプリケーションの使用は、一部のビジネスクリティカルなWebアプリケーションをオンプレミスで維持しながら、クラウドネイティブのWebおよびAPIトラフィックの増加を促進し続けています。このようなオンラインのアプリやAPIの成長に伴い、パブリックインターネットでのホストに伴う永続的な攻撃に対してますます脆弱になっています。Citrix Web App および API セキュリティサービスは、これらの複雑な攻撃に先んじるために常に進化しています。これには、クラウドとオンプレミスでこれらの重要なエンタープライズサービスを保護するための、機械学習と人工知能に基づく高度なテクノロジースイートが含まれています。

参照ドキュメント

Citrix® WebアプリとAPI保護™で詳細を見る

技術概要:Citrix WebアプリケーションとAPI保護サービス