Edge Security Acceleration:セキュリティ

機能概要

セキュリティ分析

セキュリティ分析 ダッシュボードは、 Web Application Firewall (WAF) とボット管理による HTTP(S) リクエストトラフィックの視覚化された分析を提供します。適用されたフィルターに基づいて保護ルールを作成したり、既存のルールに情報に基づいた調整を加えたりすることができます。

イベント分析

イベント分析機能は、さまざまな種類のセキュリティイベントデータを収集、整理、解析して、脅威の検出、リスクの評価、適切なアクションの実行を支援します。

WAF

ESA は、WAF を POP で、構成可能なルールの形式で提供します:

• レート制限ルール

  ESA を介してレート制限ルールを作成し、特定の条件に一致するリクエストのレートを制限できます。たとえば、特定の期間内に IP アドレスが Web サイトに高頻度でアクセスした場合、レート制限ルールを作成してリクエストレート制限を指定し、構成された制限に達したときにスライダー CAPTCHA 検証を有効にしたり、IP アドレスを一定期間ブラックリストに追加したりできます。

• カスタムルール

  カスタムルールを使用すると、Web サイト上のリソースへのユーザーアクセスを制御できます。Web サイトのカスタムルールを作成するには、一致条件と、条件を満たす受信リクエストに対するブロックやモニターなどのアクションを指定します。

• レート制限ルール

  Edge Security Acceleration (ESA) を介してレート制限ルールを作成し、特定の条件に一致するリクエストのレートを制限できます。たとえば、特定の期間内に IP アドレスが Web サイトに高頻度でアクセスした場合、レート制限ルールを作成してリクエストレート制限を指定し、構成された制限に達したときにスライダー CAPTCHA 検証を有効にしたり、IP アドレスを一定期間ブラックリストに追加したりできます。

• マネージドルール

  SQL インジェクション、クロスサイトスクリプティング (XSS)、コード実行、CRLF インジェクション、リモートファイルインクルード、Web シェルなどの侵入攻撃は高いリスクをもたらしますが、通常、カスタムルールやレート制限ルールを使用して検出するのは困難です。この問題に対処するために、ESA は、OWASP 攻撃や最新のオリジンの脆弱性から防御するための組み込みのインテリジェントなマネージドルールを提供します。手動での構成や更新なしで、さまざまな種類の攻撃に対する保護を有効にできます。

• スキャン保護ルール

  自動スキャナーの動作と特性を検出して、攻撃者やスキャナーが Web サイトをスキャンするのを防ぎます。攻撃元はブロックされるか、ブラックリストに追加されます。これにより、Web サービスへの侵入のリスクが軽減され、悪意のあるスキャナーによって生成される不要なトラフィックが防止されます。

• ホワイトリストルール

  ホワイトリストルールを使用すると、特定の特性を持つリクエストを許可できます。これらのリクエストは、カスタムルール、レート制限、マネージドルール、スキャン保護、ボット管理など、すべてまたは特定の保護ルールをバイパスします。

• IP アクセスルール

  IP アクセスルールを使用すると、クライアントのソース IP アドレス、自律システム番号 (ASN)、または地理的な場所に基づいて、トラフィックをブロック、チャレンジ、または許可できます。これらのルールは、HTTP (レイヤー 7) と TCP/UDP (レイヤー 4) の両方のリクエストに適用されます。

ボット

ボット管理は、すべてのプランで [スマートモード] を、Enterprise プランで [プロフェッショナルモード] を提供します。スマートモードでは、Web サイトのクローラー管理を設定できます。プロフェッショナルモードでは、Web サイトやアプリケーションに合わせて、より正確なクローラールールを構成できます。

DDoS

ESA は、プランに基づいて Web サイトに組み込みの DDoS 対策を開始する保護機能を提供します。Web サイトが DDoS 攻撃を受けている場合、ESA は Web サイトの高速化と保護を継続します。これは、そのような場合に高速化を無効にする可能性がある他のプロキシサービスとは異なります。

API セキュリティ

API セキュリティは、サンプリングされたユーザーアクセスログと組み込みの機械学習モデルを活用して、Web サイトの API を管理および保護するのに役立ちます。システムは関連する API を自動的にスキャンして潜在的な脅威を検出し、監視と分析のための管理ポータルを提供します。

オリジン保護

ESA POP の IP アドレスのリストをオリジンファイアウォールの設定に追加できます。オリジン保護は、検証済みの IP アドレスを介してルーティングされたトラフィックのみがオリジンに到達できるようにし、それによってビジネスを保護します。

設定

[設定] ページで追加のセキュリティ保護設定を構成できます。

保護レベル

レート制限のベースは、既存データに基づいて 24 時間ごとに自動的に調整されます。

• 厳格: 悪意のあるアクティビティの期間中に使用することをお勧めします。単一の IP アドレスの初期レート制限は 10 秒あたり 40 リクエストです。

• 中: デフォルトの保護レベルです。日常的な使用にお勧めします。単一の IP アドレスの初期レート制限は 10 秒あたり 200 リクエストです。

• 緩やか: 誤検知が発生した場合にお勧めします。インテリジェントなレート制限を無効にすることもできます。単一の IP アドレスの初期レート制限は 10 秒あたり 4,000 リクエストです。

アクション

• ブロック: ルールにヒットしたリクエストをブロックし、ブロック応答ページをクライアントに返します。

  説明

  詳細については、「カスタムページを構成する」をご参照ください。

• モニター: ルールにヒットしたリクエストをブロックしません。代わりに、イベントをログに記録するだけです。WAF ログをクエリして、ルールにヒットしたリクエストを見つけ、その有効性を分析できます (たとえば、誤検知をチェックするなど)。モニターモードは、新しく構成されたルールをテストするのに役立ちます。ルールが誤検知を引き起こさないことを確認したら、アクションを [ブロック] に設定します。

  説明

  ログクエリ機能を使用するには、Simple Log Service をアクティブ化する必要があります。

• JavaScript チャレンジ: WAF は、標準のブラウザが自動的に実行できる JavaScript コードを返します。クライアントが JavaScript コードを正しく実行した場合、WAF はそのクライアントからの後続のすべてのリクエストを一定期間 (デフォルトでは 30 分) 、別のチャレンジなしで許可します。それ以外の場合、WAF はリクエストをブロックします。

• スライダー CAPTCHA: WAF はスライダー検証ページをクライアントに返します。クライアントがスライダー検証を正常に完了すると、WAF はそのクライアントからの後続のすべてのリクエストをデフォルトで 30 分間許可します。それ以外の場合、WAF はリクエストをブロックします。

  説明

  • 検証が成功した場合 (ユーザーがスライダーチャレンジを正常に完了した場合)、トラフィックはカウントされます。検証が失敗した場合、トラフィックはカウントされません。

  • WAF カスタムルールとレート制限ルールの JavaScript チャレンジとスライダーアクションは、静的ページにのみ適用されます。XMLHttpRequest や Fetch などの非同期 API 応答をサポートするには、[ボット管理] で JavaScript チャレンジとスライダーを有効にします。有効にすると、リクエストがルールにヒットしたときに、ESA はクライアントに対して JavaScript チャレンジまたはスライダー検証を開始します。クライアントが検証に合格すると、ESA はそれぞれ Cookie acw_sc__v2 および acw_sc__v3 ヘッダーを HTTP メッセージに追加します。これらのヘッダーは、クライアントが認証されたことを示します。

利用可能状況

ボット、DDoS、およびオリジン保護で利用できる機能は、サブスクリプションプランによって異なります。WAF 機能のサポートの詳細については、「WAF サブスクリプションプランの詳細」をご参照ください。