本ページでは、Alibaba Cloud Web Application Firewall (WAF) の Web アプリケーション保護のためのベストプラクティスについて説明します。 シナリオ、保護ポリシー、保護効果、およびルール更新という 4 つの側面を紹介します。

シナリオ

WAF は、SQL インジェクション、XSS、リモートコマンド実行、Webshell アップロードなどの Web 攻撃に対する保護を提供します。 Web 攻撃の詳細については、「OWASP 2017 Top 10」をご参照ください。
サーバー侵入を引き起こすホスト層サービスのセキュリティ問題 (Redis や MySQL への不正アクセスなど) は、WAF の対象外です。

保護ポリシー

保護用 WAF に Web サイトを追加後、Web Application Firewall コンソール にログインし、[管理] > [Web サイト設定] に移動します。 次の図に示すように、保護するドメインを選択して、[ポリシー] をクリックして Web アプリケーション攻撃の保護ステータスを表示します。

Web アプリケーション保護機能が有効になり、標準モードの保護ポリシーがデフォルトで使用されます。 この機能では、

  • ステータス
    • 有効は、Web アプリケーション保護が有効であることを示しています。
    • 無効は、Web アプリケーション保護が無効であることを示しています。
  • モード: 保護モードと警告モードがあります。
    • 保護モードは、WAF が悪意のあるリクエストを自動的にブロックし、Web 攻撃を受けているときにバックエンドで攻撃ログをログすることを示します。
    • 警告モードは、Web 攻撃を受けているときに WAF が悪いのあるリクエストをブロックしていないことを示します。 WAF は攻撃をバックエンドでログするだけです。
  • 保護ポリシーのモード: 保護モードには、"緩い"、"標準"、"厳しい" の 3 つがあります。 この設定は、保護が有効になって初めて有効になります。
    • 緩い: 明らかな攻撃特性を持ったリクエストのみをブロックします。
    • 標準: 迂回特性を持った一般的な攻撃リクエストをブロックします。
    • 厳しい: 複雑な迂回特性を持った攻撃リクエストをブロックします。
使い方の提案:
  • 自身の業務トラフィック特性が明確でない場合は、まず警告モードに切り替えて観察することを推奨します。 通常、Web 保護機能を 1 ~ 2 週間観察してから警告モードで攻撃ログを分析することを推奨します。
    • 通常のトラフィックがブロックされていることを示す記録が見つからない場合は、保護モードに切り替えて保護を有効にします。
    • 通常の業務トラフィックが攻撃ログに見つかった場合は、Alibaba Cloud セキュリティエキスパートに連絡して問題を解決します。
  • PHPMyAdmin と開発テクノロジフォーラムを保護用 WAF に追加すると、WAF はこれらのサイトをブロックする可能性があります。 Alibaba Cloud セキュリティエキスパートに連絡して問題を解決することを推奨します。
  • 業務運用においては、次の点に注意する必要があります。
    • 元の SQL 文と JavaScript コードを通常業務の HTTP リクエストに渡さないでください。
    • www.example.com/abc/update/mod.php set=1 などの通常業務の URL のパスとして特別なキーワード (UPDATE や SET など) を使用しないでください。
    • 業務にファイルをアップロードする必要がある場合は、50 Mbpsを超えるファイルを Web を介して直接アップロードしないでください。 OSS または他の方法を使用してファイルをアップロードすることを推奨します。

  • Web アプリケーション保護を有効にした後、HTTP ACL ポリシーのデフォルトルールで一般的な Web 攻撃保護を無効にしないでください。

保護結果

Webアプリケーション保護を有効にしたら、次の図に示すように、[レポート] > [レポート] ページでブロックされた攻撃のログを表示します。

昨日、今日、過去 7 日間、および先月の攻撃の詳細を表示します。 次の図に示すように、[攻撃の詳細] をクリックして攻撃情報を表示します。

スクリーンショットに表示されているログは、WAF によってブロックされた SQL インジェクション攻撃リクエストです。
WAF が通常の業務トラフィックをブロックしていることがわかった場合は、影響を受ける URL にホワイトリストを設定して、Alibaba Cloud セキュリティエキスパートに連絡して解決策を見つけることを推奨します。

ルール更新

パブリックネットワーク上の既知の脆弱性や未公開のゼロデイ脆弱性について、Alibaba Cloud WAF は保護ルールを更新し、タイムリーに保護速報をリリースします。

Web Application Firewall コンソール にログインします。 次の図に示すように、[概要] > [セキュリティ] ページに移動して、最新の保護速報を表示します。
Web 攻撃には通常、複数の概念実証 (POC) があります。 Alibaba Cloud のセキュリティエキスパートは、脆弱性の原理を徹底的に分析し、公開されている Web 保護ルールが公開、未公開の脆弱性の突破口すべてを確実にカバーできるようにします。