Edge Security Acceleration (ESA) は、エッジWAF、エッジボット管理、DDoS 対策、オリジン保護を使用して、PoP (Point of Presence) でトラフィックを検査およびフィルタリングします。これにより、悪意のある攻撃がご利用のオリジンサーバーに到達するのを防ぎ、ご利用のデータセンターを保護し、アクセス速度とユーザーエクスペリエンスを向上させます。
機能紹介
特徴 | 機能概要 | |
セキュリティ分析は、WAF とボット管理からのデータを表示します。これには、ブロックされたリクエスト、監視されたリクエスト、その他のリクエストのメトリックが含まれます。このデータを使用して、保護ルールを調整できます。 | ||
イベントダッシュボードは、セキュリティイベントからのデータを収集および分析し、脅威を特定し、リスクを評価して適切な操作を実行するのに役立ちます。 | ||
インテリジェント保護 | [Smart Rate Limiting] は、ウェブセキュリティの初心者向けに設計された、AI 搭載のレート制限ルールの強化機能です。レート制限の構成を大幅に簡素化します。サイトトラフィックを手動で分析し、異常なリクエストパターンを特定し、しきい値を設定する必要はもうありません。機能を有効にして保護レベルを選択するだけです。[Smart Rate Limiting] は、ご利用のウェブサイトの過去 7 日間のトラフィックパターンからベースラインを自動的に学習し、レート制限のしきい値を毎日更新します。 | |
不正利用防止は、グローバルなトラフィック監視と毎日更新されるオープンソース IP レピュテーションデータベースを組み合わせたものです。これは、ボットネット、スクレイパー、PCDN からの自動化された脅威に対して特に効果的であり、これらの脅威は不正なトラフィックの送信元を隠すためによく使用されます。 リクエストが到着すると、ESA は送信元 IP をレピュテーションデータベースと照合し、ご利用の構成に応じて、ログに記録するか、チャレンジするか、またはブロックします。 | ||
ご利用のサイトでカスタムアクセスの制御ポリシーが必要な場合は、カスタムルールを作成できます。特定ユーザーのリクエストに一致する条件を設定し、[ブロック] または [モニター] などの操作を適用して、それらのリクエストを制御します。これにより、ユーザーがアクセスできるコンテンツを柔軟に制御できます。 | ||
Edge Security Acceleration (ESA) のレート制限を使用すると、特定の特性に一致するリクエストを制御できます。たとえば、クライアント IP がご利用のサイトに高頻度でアクセスする場合、この機能を使用して、しきい値を超えた後にスライダーチャレンジを適用したり、指定された期間 IP をブロックしたりできます。 | ||
マネージドルールは、SQL インジェクション、クロスサイトスクリプティング (XSS)、リモートコード実行 (RCE)、キャリッジリターン改行 (CRLF) インジェクション、リモートファイルインクルージョン (RFI)、ウェブシェルなどの OWASP Top 10 攻撃や新たな脆弱性から防御します。ESA はこれらのルールを自動的に維持および更新するため、手動で構成または管理する必要はありません。 | ||
スキャン保護モジュールは、自動スキャナーの動作と特性を検出し、攻撃者やスキャナーがウェブサイトをスキャンするのを防ぎます。攻撃元はブロックされるか、ブラックリストに追加されます。これにより、Web サービスへの侵入のリスクが軽減され、悪意のあるスキャナーによって生成される不要なトラフィックが防止されます。 | ||
ホワイトリストルールを使用すると、特定のトラフィックがすべての WAF 保護モジュールまたは選択した WAF 保護モジュールをバイパスできます。これらを使用して、誤検知を防止します。たとえば、内部ヘルスチェックサービスがレート制限をトリガーする場合や、信頼できるパートナーの API 呼び出しがマネージドルールによってブロックされる場合などです。 | ||
IP アクセスルールを使用すると、クライアントの送信元 IP アドレス、自律システム番号 (ASN)、または地理的位置に基づいてトラフィックをブロック、チャレンジ、または許可できます。これらのルールは、HTTP (レイヤー 7) リクエストと TCP/UDP (レイヤー 4) リクエストの両方に適用されます。 | ||
ESA は、さまざまなビジネスシナリオのセキュリティ保護要件を満たすために、簡易モード および 上級モード の 2 つのモードを提供しています。 | ||
ESA は、トラフィックをリアルタイムで監視し、SYN フラッド、ACK フラッド、CC 攻撃などの攻撃パターンを検出します。ESA が異常トラフィックを検出すると、迅速に対応して悪意のあるデータをブロックし、正当なトラフィックを通過させることで、業務継続性と安定性を確保します。 | ||
API セキュリティは、サンプリングされたユーザーアクセスログと組み込みの機械学習モデルを活用して、ご利用のウェブサイトの API の管理と保護に役立ちます。システムは、PoP へのリクエストを自動的にスキャンして潜在的な脅威を検出し、監視と分析のための API 管理ポータルを提供します。 | ||
ESA ノード IP アドレスのリストをオリジンサーバーのファイアウォールルールに追加します。これにより、ホワイトリストに登録された IP アドレスからのアクセスのみが許可され、オリジンサーバーが保護されます。 | ||
追加のセキュリティ設定は、[設定] ページで設定できます。 | ||
インテリジェントレート制限の保護レベル
低: 誤検知が発生した場合、[Loose] モードを有効にするか、インテリジェントレート制限を無効にします。単一の IP アドレスの初期レート制限は、10 秒あたり 4,000 リクエストです。この機能を有効にすると、制限は既存データに基づいて 24 時間ごとに自動的に調整されます。
中: 日常の操作には [Medium] モードを有効にします。単一の IP アドレスの初期レート制限は、10 秒あたり 200 リクエストです。この機能を有効にすると、制限は既存データに基づいて 24 時間ごとに自動的に調整されます。
高: 不正利用が発生した場合は、[Strict] モードを有効にします。単一の IP アドレスの初期レート制限は、10 秒あたり 40 リクエストです。この機能を有効にすると、制限は既存データに基づいて 24 時間ごとに自動的に調整されます。
操作の説明
ブロック: ルールに一致するリクエストをブロックし、リクエストを開始したクライアントにブロックページを返します。
説明ブロック操作のブロックページをカスタマイズするには、「カスタムページの構成」をご参照ください。
観察: ルールに一致するリクエストをブロックしません。リクエストがルールに一致したことのみをログに記録します。現在のルールに一致したリクエストの WAF ログをクエリして、誤検知の確認など、その有効性を分析できます。[モニター] モードでは、新しく構成されたルールをテストできます。ルールが誤検知を引き起こさないことを確認したら、操作を [ブロック] に設定できます。
説明ログエクスプローラー機能を使用するには、Simple Log Service を有効にする必要があります。
JS チャレンジ: ESA は JavaScript コードスニペットをクライアントに返します。標準のブラウザは、このコードを自動的に実行できます。クライアントが JavaScript コードを実行すると、ESA はそのクライアントからのすべてのリクエストを、それ以上の検証なしに一定期間 (デフォルトで 30 分) 許可します。そうでない場合、リクエストはブロックされます。
スライダー型 CAPTCHA: ESA はスライダー CAPTCHA ページをクライアントに返します。クライアントがスライダー CAPTCHA を正常に完了すると、ESA はそのクライアントからのすべてのリクエストを一定期間 (デフォルトで 30 分) 許可します。そうでない場合、リクエストはブロックされます。
説明結果がパス (通常のユーザーがスライダー CAPTCHA を正常に完了) の場合、トラフィックは課金されます。結果がブロックの場合、トラフィックは課金されません。
WAF カスタムルールおよびレート制限ルールの JavaScript チャレンジおよびスライダー CAPTCHA アクションは、静的ページにのみ適用されます。
XMLHttpRequestやFetchなどの非同期 API 応答をサポートするには、ボットで JavaScript チャレンジとスライダー CAPTCHA を有効にします。これらを有効にすると、リクエストがルールに一致したときに、ESA はクライアントに対して JavaScript チャレンジまたはスライダー CAPTCHA を開始します。クライアントがチャレンジに成功すると、ESA は、クライアントが認証済みであることを示すために、Cookie acw_sc__v2またはacw_sc__v3を HTTP メッセージヘッダーに追加します。
プランのサポート
次のリストは、ボット管理、DDoS 対策、オリジン保護をサポートするプランを示しています。WAF をサポートするプランについては、「WAF プランの詳細」をご参照ください。
インテリジェント保護
|
カテゴリ |
特徴 |
Entrance (0 米ドル/月) |
Pro (15 米ドル/月) |
Premium (249 米ドル/月) |
Enterprise (カスタム料金については営業担当者にお問い合わせください) |
|
インテリジェント保護 |
|
|
|
|
|
|
|
|
|
|
WAF
|
カテゴリ |
特徴 |
Entrance (0 米ドル/月) |
Pro (15 米ドル/月) |
Premium (249 米ドル/月) |
Enterprise (カスタム料金については営業担当者にお問い合わせください) |
|
5 |
20 |
100 |
100 |
||
|
1 |
2 |
5 |
10 |
||
|
レート制限 - 統計間隔列挙 |
|
|
|
|
|
|
レート制限 - 期間列挙 |
|
|
|
|
|
|
レート制限 - 特性 |
|
|
|
|
|
|
レート制限 - キャッシュされたリクエストへの適用 |
|
|
|
|
|
|
50 |
200 |
400 |
400 エントリ |
||
|
2 |
3 |
5 |
10 |
||
|
基本ルールをサポート |
すべてのルールをサポート |
すべてのルールをサポート |
すべてのルールをサポート |
||
|
|
5 |
10 |
20 |
||
|
|
|
|
|
||
|
|
|
|
|
||
|
厳格なスライダー |
|
|
|
|
|
|
アカウントレベルのクォータ。デフォルトのルール制限: 10。 |
|||||
|
DDoS アラート |
|
|
|
|
|
|
レイヤー 4 プロキシ (レイヤー 4 DDoS 対策を含む) |
|
|
|
|
|
DDoS
|
カテゴリ |
特徴 |
Entrance (0 米ドル/月) |
Pro (15 米ドル/月) |
Premium (249 米ドル/月) |
Enterprise (カスタム料金については営業担当者にお問い合わせください) |
|
DDoS 基本保護 |
|
|
|
|
|
|
ベストエフォート保護 |
|
|
|
カスタマイズについては営業担当者にお問い合わせください。 |
|
|
HTTP DDoS 攻撃対策 |
|
|
|
|
|
|
ディープラーニングと保護 |
|
|
|
|
|
|
シナリオベースのポリシー |
|
|
|
|
ボット
|
カテゴリ |
特徴 |
Entrance (0 米ドル/月) |
Pro (15 米ドル/月) |
Premium (249 米ドル/月) |
Enterprise (カスタム料金については営業担当者にお問い合わせください) |
|
間違いなくボット |
(アクション: モニターと許可) |
(アクション: モニターと許可) |
|
|
|
|
ボットの可能性がある |
(アクション: モニターと許可) |
(アクション: モニターと許可) |
|
|
|
|
検証済みボット |
|
|
|
|
|
|
静的リソース保護 |
|
|
|
|
|
|
JavaScript 検出 |
|
|
|
|
|
|
サポートされるボット管理ルールセットの数 |
|
|
|
10 |
オリジン保護
|
カテゴリ |
特徴 |
Entrance (0 米ドル/月) |
Pro (15 米ドル/月) |
Premium (249 米ドル/月) |
Enterprise (カスタム料金については営業担当者にお問い合わせください) |
|
オリジン保護 |
|
|
|
|