Edge Security Acceleration (ESA) のセキュリティルールは、包括的な脅威インテリジェンスライブラリを使用して、お客様のコアサービスを保護します。ESA は、クライアント IP、リクエストパス、User-Agent などのリクエスト特性を分析することで、潜在的な脅威を特定し、自動的にチャレンジを開始します。
現在のサイトのすべてのリクエストに一貫したセキュリティレベルを設定するには、「セキュリティレベル」をご参照ください。
利用シーン
Web サイトの運用において、管理バックエンド、ログインインターフェイス、決済 API などのコア機能は、自動化ツール、悪意のあるクローラー、サイバー攻撃の頻繁な標的となります。単一の固定されたグローバル保護ポリシーでは、厳しすぎると正規ユーザーをブロックしてしまい、緩すぎると標的型攻撃を防げないため、多くの場合効果的ではありません。
詳細なセキュリティルールを作成することで、特定のパスにアクセスしたり、不審な特徴を示したりするリクエストにのみ、より厳格なセキュリティポリシーを適用できます。これにより、一般ユーザーへの影響を最小限に抑えながら、コアサービスを標的として保護できます。
セキュリティルールの仕組み
ESA のセキュリティルールは、リクエストの特徴と脅威インテリジェンスを照合するインテリジェントな意思決定エンジンによって支えられています。ユーザーリクエストが ESA の POP (Point of Presence) に到達すると、システムは設定されたセキュリティルールのリストに対して順次照合と処理を行います。
このプロセスには、脅威検知、チャレンジ検証、セキュリティレベルという 3 つのコアメカニズムが含まれます。以下のセクションでは、これらのメカニズムについて説明します。
脅威評価
ESA は、Alibaba Cloud の包括的な脅威インテリジェンスライブラリを活用しており、これはグローバルなサイバー脅威データをリアルタイムで集約します。
インテリジェンスソース:既知の悪意のある IP アドレス、攻撃元、ボットネット、プロキシサービスなどが含まれます。
検知ディメンション:システムは、IP レピュテーション、地理的位置、アクセスパターン、User-Agent などのリクエスト属性を含む複数の側面を評価します。その後、動的な脅威スコアを生成し、適切なセキュリティレベルを決定します。
セキュリティレベル
セキュリティレベルは、脅威検知の秘密度と対策の厳格さを定義します。レベルが高いほど保護は強化されますが、正規ユーザーの体験に影響を与える可能性も高まります。
レベル | 推奨される利用シーン | 説明 |
攻撃を受けている | 大規模な攻撃を受けている際の緊急措置としてのみ推奨されます。 | すべての訪問者にチャレンジを実行し、Web サイトの可用性を最大限に確保します。 |
低 (デフォルト) | 標的型攻撃の履歴がない Web サイトの日常的な保護に適しています。 | 最も深刻な脅威を持つ IP アドレスにチャレンジを実行します。 |
中 | 大規模な攻撃の履歴がある、またはセキュリティ強化が必要な Web サイトに適しています。 | 脅威スコアが高い IP アドレスにチャレンジを実行します。 |
高 | 現在攻撃を受けている、または重要なイベント中にセキュリティ強化が必要な Web サイトに適しています。 | 不審な動作を示す IP アドレスにチャレンジを実行します。 |
OFF に近い状態 | 重大な誤検知のトラブルシューティングを行う際の一時的な使用のみを推奨します。 | ほとんどのセキュリティルールを無効にしますが、重大な脅威に対する基本的なプラットフォームレベルの保護は維持されます。 |
OFF (Enterprise プランで利用可能) | Enterprise プランでのみ利用可能で、デバッグや特別なユースケースに適しています。 | すべてのアクティブなセキュリティ機能を完全に無効にします。 |
操作手順
ルールを作成した後、ESA はユーザーリクエストを処理する際に、優先度に従ってルールを順次実行します。
セキュリティルールの作成
ESA コンソールで、サイト管理 を選択し、サイト 列で対象のウェブサイトをクリックします。
左側のナビゲーションウィンドウで、 を選択します。
ルールを追加 をクリックし、ルール名 を入力します。
リクエストが以下のルールと一致する場合... セクションで、一致させる ユーザーリクエストの特徴 を指定します。以下を実行する... セクションで、目的のセキュリティレベルを選択します。例えば、
ホスト名 www.example.com へのリクエストに「中」のセキュリティレベルを設定する場合は、以下の設定を参照してください。
(任意) ルールの実行優先度を調整するには、順序 列の
アイコンをドラッグするか、操作 列の 移行先 をクリックします。
ルールの検証
セキュリティルールを作成した後、example.com からの異常なリクエストをブロックするルールを作成した場合、応答はチャレンジページの HTML になります。
チャレンジに成功すると、応答はページコンテンツとなり、そのヘッダーには検証済みの u_atoken と u_asession が含まれます。
例外処理とルールの最適化
ルールの実行中に、正規ユーザーの IP や API クライアントが誤ってチャレンジされたりブロックされたりすることがあります。このような問題には迅速に対処してください。次のユースケースを考えてみましょう:
サービスがハイリスクな攻撃を受けており、セキュリティレベルを「高」に設定している。しかし、内部テスト用の IP アドレス 1.2.3.4 からのリクエストは許可したい。
方法 1:ホワイトリストルールを追加する
WAF の ホワイトリストルール を追加して既知の IP アドレスを許可し、重要なトラフィックが影響を受けないようにします。
セキュリティルール ページで、対応する ルール ID をコピーします。
左側のナビゲーションウィンドウで、 を選択します。ホワイトリストルール タブをクリックし、ルールを追加 をクリックします。
以下のように設定を構成し、OK をクリックします:
ルール名:カスタム名を入力します。例:
rule-allow-test-ip。リクエストが以下のルールと一致する場合...:一致フィールドを
クライアント IP、オペレーターをいずれかに等しいに設定し、テキストボックスに1.2.3.4を入力します。ルール:一部ルールのタイプまたは ID。
ルールのタイプ:セキュリティレベル。
ルールID (カスタムルール、レート制御ルール、スキャン保護ルールなど):手順 1 で セキュリティルール ページからコピーした ルール ID を貼り付けます。
方法 2:セキュリティルールの優先度を調整する
ESA はルールを順次実行するため、テストリクエストのセキュリティレベルを下げる新しいルールを作成します。このルールにブロックするルールよりも高い優先度 (先に実行される) を割り当てることで、先に有効になります。
左側のナビゲーションウィンドウで に移動し、ルールを追加 をクリックします。
以下のようにルールを設定し、OK をクリックします:リクエストが以下のルールと一致する場合... セクションで、影響を受ける IP、User-Agent、またはパスを正確に一致させます。以下を実行する... セクションで、セキュリティレベル を OFF に近い状態 または OFF (Enterprise プランで利用可能) に設定してチェックをバイパスします。
ルール名:
rule-allow-test-ipのような分かりやすい名前を使用します。リクエストタイプ:デフォルトの カスタムルール のままにします。一致フィールドには
クライアント IPを選択し、オペレーターにはいずれかに等しいを選択し、テキストボックスに1.2.3.4を入力します。セキュリティレベル:OFF に近い状態 または OFF (Enterprise プランで利用可能)。
セキュリティルール ページで、
アイコンをドラッグしてルールの順序を変更します。rule-allow-test-ipルールを元の制限的なルールの上に移動します。
可用性
セキュリティルール | Entrance | Pro | Premium | Enterprise |
セキュリティルールの数 | 5 | 25 | 50 | 125 |
よくある質問
関連ドキュメント
ルール関連の機能は、実行優先度、ルール動作、構成範囲において異なります。詳細については、「ESA ルールの有効化の仕組み」をご参照ください。