資産センター
アセットセンターは、Alibaba Cloudの内外でドメイン名を特定し、現在の攻撃傾向に基づいてドメイン名のリスクレベルを評価するのに役立ちます。 このようにして、ビジネスの全体的なセキュリティステータスを包括的に理解できます。 リスクの高いドメイン名の保護を有効にして、ビジネスシステム全体のセキュリティを強化できます。
|
カテゴリ |
機能 |
説明 |
関連ドキュメント |
|
資産センター |
資産センター |
Web Application Firewall (WAF) のアセットセンターは、Alibaba Cloudの内外でドメイン名を特定し、現在の攻撃傾向に基づいてドメイン名のリスクレベルを評価するのに役立ちます。 このようにして、ビジネスの全体的なセキュリティステータスを包括的に理解できます。 |
資産センター |
アクセスモード
WAFを使用してwebサービスを保護するには、webサービスをWAFに追加する必要があります。 クラウドネイティブモードまたはCNAMEレコードモードでwebサービスをWAF 3.0に追加できます。 webサービスの展開モデルに基づいてモードを選択できます。
|
カテゴリ |
機能 |
説明 |
関連ドキュメント |
|
ハイブリッドクラウドモード |
逆プロキシ |
リバースプロキシモードでWebサイトをWAFに追加する場合は、Webサイトのドメイン名またはIPアドレスをWAFに追加し、ドメイン名システム (DNS) レコードを更新して、Webサイトのドメイン名またはIPアドレスをハイブリッドクラウドクラスターのIPアドレスに指定する必要があります。 ハイブリッドクラウドクラスターは、WAFに追加されたWebサイトへのすべてのトラフィックを検査します。 |
ハイブリッドクラウドモード |
|
SDKベースのトラフィックミラーリング |
SDKベースのトラフィックミラーリングモードでは、SDKは統合アクセスゲートウェイにデプロイされ、WAFがトラフィックミラーリングを使用してサービストラフィックを検出できるようになります。 このように、ハイブリッドクラウドクラスタはトラフィックを転送せず、トラフィック転送はトラフィック検出から分離される。 |
ハイブリッドクラウドモード | |
|
クラウドネイティブモード |
Application Load Balancer (ALB) インスタンスのWAF保護 |
webサービスに対してALBインスタンスが有効になっている場合、ALBインスタンスのWAF保護を有効にして、WAFを使用してwebサービスのトラフィックをフィルタリングできます。 |
ALBインスタンスのWAF保護の有効化 |
|
Classic Load Balancer (CLB) インスタンスのWAF保護 |
特定のポートにHTTP、HTTPS、またはTCPリスナーを持つCLBインスタンスを構成した場合、WAFを使用してポートをWAFに追加し、webサービストラフィックをフィルタリングできます。 |
||
|
Elastic Compute Service (ECS) インスタンスのWAF保護 |
ECSインスタンスを作成した場合、インスタンスのポートをWAFに追加して、WAFを使用してwebサービスのトラフィックをフィルタリングできます。 |
WAFへのECSインスタンスの追加 | |
|
Microservices Engine (MSE) インスタンスのWAF保護 |
webサービスに対してMSEインスタンスが有効になっている場合、MSEインスタンスのWAF保護を有効にして、WAFを使用してwebサービストラフィックをフィルタリングできます。 |
MSEインスタンスのWAF保護の有効化 | |
|
Function Computeでwebアプリケーションにバインドされたカスタムドメイン名のWAF保護 |
Function Computeでカスタムドメイン名をwebアプリケーションにバインドした場合、カスタムドメイン名のWAF保護を有効にして、WAFを使用してwebサービストラフィックをフィルタリングできます。 |
Function Computeでwebアプリケーションにバインドされたカスタムドメイン名のWAF保護を有効にする | |
|
CNAMEレコードモード |
CNAMEレコードモード |
WAFを使用してWebサイトを保護するには、CNAMEレコードモードでWebサイトのドメイン名をWAFに追加します。 |
CNAMEレコードモード |
保護設定
webサービスをWAFに追加した後、webサービスの保護ルールを設定できます。 保護設定プロセスは、webサービスをWAFに追加するために使用する方法によって異なります。
|
カテゴリ |
機能 |
説明 |
関連ドキュメント |
|
保護されたオブジェクト |
保護されたオブジェクト |
保護対象オブジェクトは、WAF 3.0保護ルールを設定できる最小単位です。 保護されたオブジェクトは、クラウドサービスインスタンスまたはWAF 3.0に追加されたドメイン名です。 保護されたオブジェクトを保護テンプレートに関連付けて、そのテンプレートをオブジェクト保護に使用できます。 |
保護されたオブジェクトと保護されたオブジェクトグループ |
|
保護されたオブジェクトグループ |
保護オブジェクトグループは、保護オブジェクトのグループである。 保護対象オブジェクトグループのWAF 3.0保護ルールを設定できます。 保護オブジェクトグループに対して設定した保護ルールは、グループ内のすべての保護オブジェクトに対して有効になります。 |
保護されたオブジェクトと保護されたオブジェクトグループ | |
|
基本的なweb保護 |
基本ルールエンジン保護 |
この検出モジュールは、所定のルールに基づいて既知の攻撃モードを識別し、一般的なウェブアプリケーション攻撃に対して防御する。 |
基本的な保護ルールとルールグループ |
|
セマンティックエンジン保護 |
この検出モジュールは、リクエストの内容を分析してセマンティクスと構文をよりよく理解することで、非常にインテリジェントな方法でwebサービスを保護できます。 これにより、未知の攻撃を特定し、SQLインジェクション攻撃から防御できます。 |
基本的な保護ルールとルールグループ | |
|
HTTPプロトコルコンプライアンス |
プログラミング言語によって、データ形式を処理するとき、特にファイルのアップロード中に、HTTP構文解析方法が異なり、厳格さの程度が異なります。 ほとんどの場合、WAFは着信HTTPリクエストを検査し、悪意のある試行を防ぎます。 ただし、攻撃者が言語またはフレームワークに固有の解析脆弱性を発見した場合、WAF検出を回避するための特別なデータ形式を設計できます。 HTTPプロトコル準拠により、クライアントとサーバー間でさまざまなデータ形式を送信できます。 |
基本的な保護ルールとルールグループ | |
|
インテリジェントO&M |
WAFは、過去のサービストラフィックに基づいてインテリジェントな学習を実行し、誤検知を引き起こす可能性のある基本的な保護ルールを特定します。 その後、WAFは、頻繁に誤ってブロックされたURLをホワイトリストに自動的に追加して、通常のリクエストがブロックされないようにします。 |
基本的な保護ルールとルールグループ | |
|
カスタマイズルールグループ |
WAFには、保護の厳格さに基づいて3つのデフォルトのルールグループが用意されています。中ルールグループ: デフォルトでは、このルールグループが選択されています。 ルールグループを緩める: 誤検知を減らす場合は、このルールグループを選択することを推奨します。 厳密なルールグループ: WAFで攻撃を厳密にブロックする場合は、このルールグループを選択することを推奨します。 ビジネス要件に基づいてカスタムルールグループを構成することもできます。 |
基本的な保護ルールとルールグループ | |
|
IPアドレスブラックリスト |
IPアドレスブラックリスト |
webサービスをWAFに追加した後、IPアドレスブラックリストルールを設定して、特定のIPアドレスまたはCIDRブロックからの受信リクエストをブロックできます。 |
特定のリクエストをブロックするためのIPアドレスブラックリストルールの設定 |
|
地域ブラックリスト |
地域ブラックリスト |
特定のリージョンから悪意のあるリクエストが頻繁に開始される場合は、リージョンブラックリストルールを設定して、リクエストの地理的な発信元を特定し、リージョンからの着信リクエストをブロックできます。 |
特定のリージョンからのリクエストをブロックするリージョンブラックリストルールの設定 |
|
カスタム応答 |
カスタム応答 |
webサービスをWAFに追加した後、カスタム応答ルールを設定して、WAFによってリクエストがブロックされたときにクライアントに返される応答コード、応答ヘッダー、および応答本文を指定できます。 |
カスタムブロックページを設定するためのカスタムレスポンスルールの設定 |
|
カスタムルール |
アクセス制御 |
クライアントIPアドレスやリクエストURLなどの共通のリクエストヘッダーフィールドを使用して、一致条件を指定できます。 リクエストが指定された一致条件を満たす場合、WAFはリクエストに対して特定のアクションを実行します。 たとえば、特定のURI (Uniform Resource Identifier) に送信されるリクエストをブロックするカスタムルールを設定できます。 カスタムルールを設定して、WAFが特定のUser-Agent文字列を含むリクエストを検証できるようにすることもできます。 |
カスタムルール |
|
レート制限 |
リクエストレートの一致条件を指定できます。 統計オブジェクトのリクエストレートが上限を超えると、WAFは統計オブジェクトから送信されたリクエストに対して特定のアクションを実行します。 たとえば、IPアドレスまたはセッションが短期間に一致条件を頻繁に満たす場合、レート制限を有効にして、特定の期間にIPアドレスまたはセッションから送信されるリクエストをブロックできます。 |
カスタムルール | |
|
スライダーCAPTCHA |
WAFは、スライダーCAPTCHA検証に使用されるページをクライアントに返します。 クライアントが厳密なスライダーCAPTCHA検証に合格した場合、WAFはクライアントから送信された要求を許可します。 それ以外の場合、WAFはリクエストをブロックします。 クライアントがリクエストを送信するたびに、厳密なスライダーCAPTCHA検証に合格する必要があります。 |
カスタムルール | |
|
Web サイトの改ざん防止 |
Web サイトの改ざん防止 |
機密情報を含むページなど、保護するwebページをロックするように、webサイトの改ざん防止ルールを設定できます。 ロックされたページがリクエストを受信すると、ページのキャッシュされたバージョンが返され、webページの改ざんが防止されます。 |
webページの改ざんを防ぐためのwebサイトの改ざん防止ルールの設定 |
|
データ漏えい防止 |
データ漏えい防止 |
データ漏洩防止ルールを設定して、発信元から返される異常なコンテンツをフィルタリングし、IDカード番号、電話番号、銀行カード番号、機密単語などの機密情報をマスクできます。 その後、WAFはマスクされた情報またはデフォルトの応答ページを返します。 |
データ漏洩防止ルールを設定してデータ漏洩を防止する |
|
HTTP フラッド保護 |
HTTP フラッド保護 |
HTTPフラッド保護ルールを設定して、HTTPフラッド攻撃をブロックし、405エラーページを返すことができます。 |
HTTPフラッド攻撃を防御するためのHTTPフラッド保護ルールの設定 |
|
スキャン保護 |
スキャン保護 |
webサービスをWAFに追加した後、スキャン保護ルールを設定して、スキャン動作とスキャナーの特徴的な機能を検出できます。 これにより、攻撃者や自動スキャナーがWebサイトで大規模なスキャンを実行するのを防ぐことができます。 これにより、webサービスの侵入に対する脆弱性が軽減され、大規模なスキャンによって生成されるスパムトラフィックの量が減少します。 |
スキャン保護ルール |
シナリオ固有の保護
|
カテゴリ |
機能 |
説明 |
関連ドキュメント |
|
APIセキュリティ |
APIアセットの検出 |
この機能には、API名、ドメイン名、リクエストメソッド、直近30日間の呼び出し回数、機密データレベル、機密データタイプ、サービスオブジェクト、ビジネス目的など、検出されたすべてのオープンAPIに関する情報が表示されます。 |
APIセキュリティ |
|
APIリスク検出 |
この機能は、リスクID、リスクタイプ、ソースタイプ、API名、ドメイン名、ビジネス目的、ステータス、関連するセキュリティイベントの数など、検出されたリスクのあるAPIの詳細を表示します。 |
APIセキュリティ | |
|
APIセキュリティイベント |
この機能は、イベントID、イベントタイプ、ソースタイプ、API名、ドメイン名、ビジネス目的、攻撃ソース、ステータス、関連リスクなど、検出されたAPIセキュリティイベントの詳細を表示します。 |
APIセキュリティ | |
|
APIコンプライアンスのチェックとトレースと監査 |
ビジネスが中国本土以外の地域でデータを提供する必要がある場合は、地域の州レベルのサイバースペース管理および全国のサイバースペース管理に、アウトバウンドデータ転送セキュリティ評価を提出する必要があります。 APIセキュリティモジュールのコンプライアンスチェックとトレースおよび監査機能を使用して、中国本土以外のリージョンに転送するデータをチェックおよびトレースできます。 機能は中国本土でのみサポートされています。 |
APIセキュリティ | |
|
ボット管理 |
アプリ保護のためのボット管理 |
ネイティブのiOSまたはAndroidアプリのアンチクローラールールを設定して、サービスをクローラーから保護することができます。 HTML5アプリはiOSやAndroidのネイティブアプリではありません。 |
ボット管理モジュールの有効化と設定 |
|
ウェブサイト保護のためのボット管理 |
WAFを使用して、webページ、HTML5ページ、またはHTML5アプリでのボットトラフィックによって引き起こされるセキュリティ上の脅威を軽減する場合は、webサイト用のアンチクローラールールテンプレートを作成することをお勧めします。 |
ボット管理モジュールの有効化と設定 | |
|
リスクの特定 |
WAFには、スパムユーザー登録やマーケティング詐欺などの脅威を防ぐための携帯電話番号レピュテーションライブラリが組み込まれています。 WAFは、携帯電話番号または電話番号のMD5ハッシュ値をレピュテーションライブラリの値と比較します。 特定のリクエストが疑わしい動作タグと一致する場合、WAFはスライダーCAPTCHA検証を実装し、リクエストをブロックし、リクエストを記録し、またはリクエストにタグを追加します。 |
リスク識別 | |
|
主要なイベント保護 |
主要なイベント保護 |
メジャーイベント保護機能は、特定の時間範囲のメジャーイベントをカスタムで正確に保護します。 |
主要なイベント保護 |
セキュリティ操作
|
カテゴリ |
機能 |
説明 |
関連ドキュメント |
|
セキュリティレポート |
セキュリティレポート |
WAFのセキュリティレポートには、基本保護ルール、IPアドレスブラックリスト、カスタムルールモジュールなど、さまざまな保護モジュールの保護の詳細が表示されます。 セキュリティレポートに基づいて、ビジネスのセキュリティを分析できます。 |
セキュリティレポート |
|
シンプルなログサービス |
シンプルなログサービス |
WAFはSimple Log Serviceと統合され、Simple Log Service for WAF機能を提供します。 この機能は、WAFの保護オブジェクトのアクセスログと保護ログを収集して保存します。 保護オブジェクトには、ドメイン名とクラウドサービスインスタンスが含まれます。 この機能を使用して、ログデータのクエリと分析、グラフとアラートルールの設定、およびログデータを下流のサービスに配信できます。 この機能により、ログ分析に集中することができます。 |
ログ管理の概要 |
|
アラート設定 |
アラート設定 |
webサービスをWAFに追加した後、WAFがwebサイトの攻撃イベントや異常なトラフィックを通知できるようにアラートを設定できます。 これにより、ビジネスのセキュリティステータスを徹底的に監視できます。 |
WAFアラートの設定 |
|
ブロックされた要求クエリ |
ブロックされた要求クエリ |
webサービスをWAFに追加した後、[Blocked request Query] ページのリクエストIDを使用して、ブロックされたトラフィックの詳細を照会できます。 IDがページにあるトラフィックまたはリクエストが正当であると判断された場合は、ホワイトリストに追加するか、関連するルールを最適化できます。 |
ブロックされたリクエストの照会 |
|
マルチアカウント管理 |
マルチアカウント管理 |
WAFは、信頼できるサービスとしてResource ManagementのResource Directoryサービスと統合できます。 複数のAlibaba Cloudアカウントをメンバーとしてリソースディレクトリに招待できます。 メンバーを委任管理者アカウントとして指定できます。 委任された管理者アカウントは、リソースディレクトリ内のすべてのメンバーのクラウドリソースにアクセスできます。 これにより、リソースを一元管理できます。 |
マルチアカウント管理機能の使用 |
システム管理
|
カテゴリ |
機能 |
説明 |
関連ドキュメント |
|
ビル管理 |
ビル管理 |
サブスクリプションまたは従量課金WAF 3.0インスタンスを購入した後、WAFコンソールの [請求書] ページでリソース使用量と料金を表示し、ユーザーセンターで請求書を表示できます。 |
請求書の表示 |
|
ハイブリッドクラウド管理 |
クラスター管理 |
[hybrid cloud Cluster Management] ページで、ハイブリッドクラウドクラスターと保護ノードをデプロイおよび管理できます。 |
ハイブリッドクラウドモード |
検証コード
CAPTCHA 2.0は、Alibaba Cloudが発売した新世代の認証コード製品です。 CAPTCHA 2.0は、アカウント登録、SMS送信、チケット予約、情報照会、無料ダウンロード、フォーラム投稿、オンライン投票などのインタラクティブモジュールで広く使用されています。 CAPTCHA 2.0は、簡単で安全で汎用性の高いインタラクティブロジックを使用して、自動マシンスクリプトと人間のユーザーを効果的に区別する検証サービスを提供します。 これは、本物のユーザーエクスペリエンスを維持しながら、悪意のあるソフトウェアアクセスに対するウェブサイトの防御能力を強化するために、人間のユーザーになりすましたコンピュータプログラムによるネットワークリソースの悪用を軽減および防止するのに役立ちます。
|
カテゴリ |
機能 |
説明 |
関連ドキュメント |
|
CAPTCHA |
CAPTCHA |
この機能は、スライダー、インビジブル、パズル、空間推論の課題など、複数の検証方法をサポートしています。 これらの方法は、人間の行動を模倣するコンピュータ生成スクリプトによるネットワークリソースの悪用を防止するために、人間と自動化されたマシンアクションを区別するために、ユーザインタラクションおよび意味論的論理を評価する。 |
- |
|
カスタムポリシー |
カスタムポリシー |
特定の検証シナリオに対してカスタムポリシーを設定できます。 たとえば、レート制限しきい値、ポリシーモード、およびシミュレートされたデバイスをブロックするかどうかを指定できます。 |
- |
|
自動障害復旧アーキテクチャ |
自動障害復旧アーキテクチャ |
サーバーが使用できなくなると、監視システムは自動的に問題を検出し、CAPTCHA検証プロセスをバイパスして、ビジネスの継続性を確保し、99.99% の可用性率を維持します。 |
- |