Edge Security Acceleration (ESA) は、エッジ WAF、ボット管理、DDoS 対策、オリジン保護を通じて PoP (ポイントオブプレゼンス) でトラフィックを検査およびフィルタリングします。これにより、悪意のある攻撃がオリジンサーバーに到達する前にブロックし、データセンターを保護し、アクセス速度とユーザーエクスペリエンスを向上させます。
機能
機能 | 説明 | |
セキュリティ分析では、ブロック、観測、その他のリクエストメトリックを含む WAF とボット管理のデータを表示します。このデータを使用して、保護ルールを微調整します。 | ||
イベント分析は、セキュリティイベントデータを集約・分析し、脅威の特定、リスクの評価、および適切な対応を支援します。 | ||
インテリジェント保護 | スマートなレート制限 は、レート制限ルール を ESA の AI エンジンで強化します。手動でトラフィックを分析してルールを定義する代わりに、保護レベルを選択します。システムは、サイトの過去 7 日間のトラフィックからベースラインをトレーニングし、毎日更新します。 | |
ESA の不正利用防止機能は、異常なトラフィックのグローバルなモニタリングと、毎日更新されるオープンソースの IP レピュテーションデータベースを組み合わせています。この機能は、Peer-to-Peer CDN (PCDN) プラットフォームや自動化スクリプトなどのソースからのトラフィックの不正利用を効果的に軽減し、多額の金銭的損失を回避するのに役立ちます。 | ||
ご利用のウェブサイトにカスタムのアクセス制御ポリシーが必要な場合は、カスタムルールを作成できます。カスタムルールを使用すると、受信リクエストの一致条件を定義し、一致するリクエストに対してブロックや監視などのアクションを指定できます。これにより、ユーザーがアクセスできるコンテンツを柔軟に制御できます。 | ||
ESA のレート制限を使用すると、特定の機能に一致するリクエストを制御できます。たとえば、クライアント IP が高頻度でサイトにアクセスする場合、この機能を使用して、しきい値を超えた後にスライダーチャレンジを適用したり、指定された期間 IP をブロックしたりできます。 | ||
マネージドルールは、SQL インジェクション、XSS、コード実行、CRLF、リモートファイルインクルード、WebShell などの OWASP 攻撃や最新のオリジンサーバーの脆弱性から保護する、インテリジェントな組み込みの ESA 保護ルールです。手動でのルール構成や更新なしで保護を有効にできます。 | ||
スキャン保護は、スキャナーの動作とシグネチャを特定して、ウェブサイトに対する大規模なスキャンをブロックし、攻撃元をブロックまたはブラックリストに登録して、侵入リスクと不要なトラフィックを削減します。 | ||
ホワイトリストルールを使用すると、特定のリクエストがすべての、または選択された WAF 保護モジュールをバイパスできるようになり、内部サービスや既知のパートナーからの誤検知を防ぎます。 | ||
IP アクセスルールを使用すると、ソース IP、ASN、または地理的な場所によってトラフィックを許可、チャレンジ、またはブロックできます。HTTP (レイヤー 7) IP アクセスルールはすべてのプランで利用可能です。TCP/UDP (レイヤー 4) IP アクセスルールには Enterprise プランが必要です。 | ||
ESA は、さまざまな保護ニーズに対応するため、簡易モード と 上級モード の 2 つのモードを提供します。 | ||
ESA はリアルタイムでトラフィックを監視し、SYN フラッド、ACK フラッド、CC 攻撃などの攻撃パターンを特定します。異常なトラフィックを検出すると、ESA は攻撃リクエストを迅速にブロックし、正当なトラフィックの通過を許可することで、業務継続性を確保します。 | ||
迅速なビジネスの反復は、不明確な API 資産、未知の攻撃対象領域、分散したセキュリティポリシー管理といった中心的な課題をしばしばもたらします。 ESA の API セキュリティ機能は、これらの問題に対処するために設計されています。エッジレイヤーで統一された API セキュリティの障壁を構築するのに役立ちます。この機能は、PoP (ポイントオブプレゼンス) を通過するアクセスリクエストを分析し、機械学習モデルを使用することで、ビジネス API の自動検出、継続的なモニタリング、およびセキュリティ保護を提供します。 | ||
ESA ノードの IP アドレスのリストをオリジンサーバーのファイアウォールルールに追加します。これにより、許可リスト内の IP アドレスからのリクエストまたはトラフィックのみがオリジンサーバーにアクセスできるようになり、オリジンサーバーが保護されます。 | ||
ご利用のウェブサイトのクライアント IP の定義、セキュリティチャレンジのレベル、リクエストボディの検査制限を構成します。 | ||
スマートレート制限のレベル
低:誤検知が発生した場合に使用します。低モードを有効にするか、スマートレート制限を完全に無効にすることができます。初期制限:IP あたり 10 秒ごとに 4,000 リクエスト。履歴データに基づいて 24 時間ごとに自動調整されます。
中:日常業務に推奨されます。初期制限:IP あたり 10 秒ごとに 200 リクエスト。履歴データに基づいて 24 時間ごとに自動調整されます。
高: アクティブな不正行為や悪意のあるトラフィックが発生している場合に推奨されます。初期制限: IP あたり 10 秒間に 40 リクエスト。既存データに基づいて 24 時間ごとに自動的に調整されます。
アクション
ブロック:一致するリクエストをブロックし、クライアントにブロックページを返します。
説明ブロックページは、「カスタムページの設定」でカスタマイズできます。
観察:一致するリクエストの通過を許可しますが、イベントをログに記録します。監視モードを使用して新しいルールをテストし、WAF ログで誤検知を確認します。誤検知がないことを確認した後、アクションを [ブロック] に変更します。
説明ログクエリ機能を使用するには、Log Service を有効にする必要があります。
JS チャレンジ:ESA はクライアントに JavaScript スニペットを返します。ブラウザがスクリプトを正常に実行した場合、ESA はそのクライアントからの後続のすべてのリクエストを、デフォルトで 30 分間、別のチャレンジなしで許可します。それ以外の場合、リクエストはブロックされます。
スライダー型 CAPTCHA:ESA はスライダー CAPTCHA ページを返します。クライアントが CAPTCHA を解決した場合、ESA はそのクライアントからの後続のすべてのリクエストを、デフォルトで 30 分間許可します。それ以外の場合、リクエストはブロックされます。
説明スライダー CAPTCHA を通過したリクエストは課金され、ブロックされたリクエストは課金されません。
WAF のカスタムルールとレート制限ルールに対する JavaScript チャレンジとスライダー CAPTCHA は、静的ページにのみ適用されます。非同期 API (
XMLHttpRequestおよびFetch) の場合、これらのチャレンジを「ボット」で有効にします。一致するリクエストがチャレンジを通過すると、ESA は HTTP ヘッダーにCookie acw_sc__v2またはacw_sc__v3を追加して、クライアントが検証済みであることを示します。
Strict スライダー CAPTCHA:厳格な CAPTCHA モードでは、各クライアントリクエストが検証を通過する必要があります (以前に検証されたクライアントに 30 分間のパススルーを許可する スライダー型 CAPTCHA とは異なります)。注意して有効にしてください。Strict スライダー CAPTCHA は、リクエストに応じて Enterprise プランでのみ利用可能です。
プラン別の利用可否
以下の表は、インテリジェント保護、ボット、DDoS、オリジン保護のプランサポートを示しています。WAF の利用可否については、「WAF プランの詳細」をご参照ください。
インテリジェント保護
機能カテゴリ | 詳細機能 | Entrance (0 USD/月) | Pro (15 USD/月) | Premium (249 USD/月) | Enterprise (カスタム価格については営業担当者にお問い合わせください) |
スマート保護 | |||||
WAF
機能カテゴリ | 機能 | Entrance (0 USD/月) | Pro (15 USD/月) | Premium (249 USD/月) | Enterprise (カスタム価格については営業担当者にお問い合わせください) |
5 | 20 | 100 | 100 | ||
1 | 2 | 5 | 10 | ||
レート制限 - 評価期間 |
|
|
| ||
レート制限 - ブロック期間 |
|
|
| ||
レート制限 - 基準 |
|
|
| ||
レート制限 - キャッシュされたリクエストを含む | |||||
50 | 200 | 400 | 400 | ||
2 | 3 | 5 | 10 | ||
基本ルールをサポート | すべてのルールをサポート | すべてのルールをサポート | すべてのルールをサポート | ||
5 | 10 | 20 | |||
厳格なキャプチャ | |||||
アカウント全体でクォータが適用され、デフォルトの上限は 10 ルールです。 | |||||
DDoS アラート機能 | |||||
レイヤー 4 プロキシ (レイヤー 4 DDoS 保護を含む) | |||||
DDoS
機能カテゴリ | 詳細機能 | Entrance (0 USD/月) | Pro (15 USD/月) | Premium (249 USD/月) | Enterprise (カスタム価格) |
基本的な DDoS 保護 | |||||
無制限保護 | カスタム価格については営業担当者にお問い合わせください | ||||
HTTP DDoS 攻撃保護 | |||||
ディープラーニングと保護 | |||||
シナリオベースのポリシー |
ボット
機能カテゴリ | 詳細機能 | Entrance (0 USD/月) | Pro (15 USD/月) | Premium (249 USD/月) | Enterprise (カスタム価格については営業担当者にお問い合わせください) |
間違いなくボット | (観測と許可のアクションに限定) | (観測と許可のアクションに限定) | |||
ボットの可能性がある | (観測と許可のアクションに限定) | (観測と許可のアクションに限定) | |||
検証済みボット | |||||
静的リソース保護 | |||||
JavaScript 検出 | |||||
最大ボット管理ルールセット | 10 |
オリジン保護
機能カテゴリ | 機能 | Entrance (0 USD/月) | Pro (15 USD/月) | Premium (249 USD/月) | Enterprise (カスタム価格については営業担当者にお問い合わせください) |
オリジン保護 |