Edge Security Acceleration (ESA) は、WAF、ボット管理、DDoS 対策、オリジン保護を通じて、Points of Presence (POP) でトラフィックを検知およびフィルタリングし、悪意のある攻撃がオリジンに到達するのを防ぎます。これにより、データセンターのセキュリティを保護するだけでなく、アクセスを高速化してユーザーエクスペリエンスを向上させます。
機能の概要
セキュリティ分析
セキュリティ分析 ダッシュボードでは、Web Application Firewall (WAF) およびボット管理を介した HTTP(S) リクエスト トラフィックの 視覚化された分析を提供します。適用されたフィルターに基づいて保護ルールを作成したり、既存のルールに情報に基づいた調整を加えたりすることができます。
WAF
ESA は、WAF を設定可能なルール形式で POP に提供します。
カスタムルールを使用すると、Web サイト上のリソースへのユーザーアクセスを制御できます。 Web サイトのカスタムルールを作成するには、条件に一致する着信リクエストに対する一致条件と、ブロックや監視などのアクションを指定します。
ESA を使用してレート制限ルールを作成し、特定の条件に一致するリクエストのレートを制限できます。 たとえば、IP アドレスが特定の期間内に Web サイトに高頻度でアクセスする場合、レート制限ルールを作成してリクエストレート制限を指定し、スライダー CAPTCHA 検証を有効にするか、構成された制限に達したときに一定期間ブラックリストに IP アドレスを追加できます。
SQL インジェクション、クロスサイトスクリプティング (XSS)、コード実行、CRLF インジェクション、リモートファイルインクルージョン、Web シェルなどの侵入攻撃はリスクが高いですが、通常、カスタムルールとレート制限ルールを使用して検出することは困難です。 この問題に対処するために、ESA は OWASP 攻撃と最新のオリジン脆弱性から防御するための組み込みのインテリジェントなマネージドルールを提供しています。 手動での構成や更新なしで、さまざまな種類の攻撃に対する保護を有効にできます。
スキャン保護モジュールは、攻撃者またはスキャナーが Web サイトをスキャンするのを防ぐために、自動スキャナーの動作と特性を検出します。 攻撃元はブロックされるか、ブラックリストに追加されます。 これにより、Web サービスへの侵入のリスクが軽減され、悪意のあるスキャナーによって生成される不要なトラフィックが防止されます。
ホワイトリストルールを構成して、指定された特性を持つリクエストを許可し、カスタムルール、レート制限ルール、マネージドルール、スキャン保護ルール、ボット管理ルールなど、すべてまたは特定のルールから除外できます。
ボット
ボット管理 は、すべてのプランで [スマートモード] を、エンタープライズプランで [プロフェッショナルモード] を提供します。 スマートモードでは、Web サイトのクローラー管理を設定できます。 プロフェッショナルモードでは、Web サイトまたはアプリケーションに合わせて、より正確なクローラールールを構成できます。
DDoS
ESA は、プランに基づいて Web サイトに組み込みの DDoS 保護機能を提供します。 Web サイトが DDoS 攻撃を受けている場合、ESA は Web サイトの高速化と保護を継続します。これは、そのような場合に高速化を無効にする可能性のある他のプロキシサービスとは異なります。
オリジン保護
ESA POP IP アドレスのリストをオリジンファイアウォール設定に追加できます。 オリジン保護 を使用すると、検証済みの IP アドレスを介してルーティングされたトラフィックのみがオリジンに到達できるようになり、ビジネスが保護されます。
設定
設定 ページで、追加のセキュリティ保護設定を構成できます。
保護レベル
厳格: 悪意のある攻撃が発生した場合は、厳格モードを有効にすることをお勧めします。 単一 IP の初期頻度は 40 リクエスト/10 秒です。 有効にすると、既存データに基づいて 24 時間ごとに自動的に調整されます。
中: デフォルト。 日常使用にお勧めします。 単一 IP の初期頻度は 200 リクエスト/10 秒です。 有効にすると、既存データに基づいて 24 時間ごとに自動的に調整されます。
緩和: 誤検知が発生した場合は、これをお勧めします。 単一 IP の初期頻度は 4000 回/10 秒です。 有効にすると、既存データに基づいて 24 時間ごとに自動的に調整されます。
アクション
ブロック: リクエストがルールに一致すると、リクエストはブロックされ、アクションを示す応答ページがリクエスト元のクライアントに返送されます。 カスタムエラーページを構成することもできます。
監視: ルールに一致するリクエストはブロックされず、代わりにログに記録されます。 これらのログを確認してルールの有効性を評価し、正当なリクエストがブロックされていないことを確認できます。 このモードは、新しく実装されたルールのテストに役立ちます。 ルールによって誤検知が発生しないことを確認したら、ルールをブロックモードに切り替えることができます。
説明ログをクエリするには、Simple Log Service をアクティブ化する必要があります。
Javascript チャレンジ: これは、WAF がクライアントに JavaScript コードスニペットを発行することを示しており、標準のブラウザはこれを自動的に実行できます。 クライアントが JavaScript を正常に実行すると、WAF はそれ以降のクライアントからのすべてのリクエストを、さらに認証する必要なく、設定された期間 (デフォルトは 30 分) 許可します。 そうでない場合は、リクエストをブロックします。
スライダー CAPTCHA: WAF は、スライダー CAPTCHA 検証に使用されるページをクライアントに返します。 クライアントが厳格なスライダー CAPTCHA 検証に合格した場合、WAF はリクエストを許可します。 そうでない場合、WAF はリクエストをブロックします。
可用性
次の表は、ボット、DDoS、およびオリジン保護の可用性を示しています。 WAF ルールの可用性については、「WAF」をご参照ください。
ボット
項目 | Entrance | Pro | Premium | Enterprise |
スマートモード | ||||
確定ボット | はい (アクションは「監視」と「許可」のみをサポートします) | はい (アクションは「監視」と「許可」のみをサポートします) | はい | はい |
可能性のあるボット | はい (アクションは「監視」と「許可」のみをサポートします) | はい (アクションは「監視」と「許可」のみをサポートします) | はい | はい |
検証済みボット | サポートされていません | サポートされていません | はい | はい |
静的リソース保護 | サポートされていません | サポートされていません | サポートされていません | はい |
JavaScript の検出 | サポートされていません | サポートされていません | サポートされていません | はい |
プロフェッショナルモード | ||||
ボット管理ルールセットの数 | サポートされていません | サポートされていません | サポートされていません | 10 |
DDoS
Entrance | Pro | Premium | Enterprise | |
保護レベル | 基本保護 | 基本保護 | 基本保護 | ベストエフォート保護 |
オリジン保護
エンタープライズプランで利用可能です。