自動スキャン、脆弱性攻撃、匿名プロキシなど、グローバルな脅威に直面するサービスにとって、大規模な IP ブラックリストを手動でメンテナンスすることは非効率的です。また、動的に変化する攻撃元に対応し続けることも困難です。Web Application Firewall (WAF) の脅威インテリジェンス機能は、Alibaba Cloud のグローバルで多次元的な脅威データを活用し、悪意のある IP を自動的に識別してブロックします。これにより、プロアクティブな防御システムを構築でき、運用負荷を大幅に削減し、サービスのセキュリティを向上させることができます。
適用範囲
バージョン要件:サブスクリプション WAF インスタンスの Enterprise Edition または Ultimate Edition、あるいは従量課金 WAF インスタンスが必要です。
設定の前提条件:保護対象オブジェクトが存在する必要があります。つまり、Web サービスが WAF に追加されている必要があります。サービスを追加していない場合は、「WAF へのドメイン名の追加」をご参照ください。
アクセスモードの制限:Function Compute (FC) はサポートされていません。MSE インスタンスはバージョン 2.0.18 以降に、APIG インスタンスはバージョン 2.1.13 以降にアップグレードする必要があります。
基本概念
脅威インテリジェンス:WAF の保護モジュールの一つで、世界中の Web 攻撃元の IP アドレスを自動的に識別し、ブロックします。複雑なルールを手動で設定する必要はありません。このモジュールを使用するには、脅威インテリジェンスの保護テンプレートを作成する必要があります。テンプレートは複数作成できます。
保護テンプレート:テンプレートは、ルールの内容とその適用範囲を定義するルールのコレクションです。テンプレートタイプ、保護ルール、適用対象の 3 つの部分で構成されます。
テンプレートタイプ:テンプレートを作成する際にテンプレートタイプを指定する必要があります。作成後にタイプを変更することはできません。テンプレートには次の 2 種類があります。
テンプレートタイプ
説明
利用シーン
デフォルトテンプレート
作成時、テンプレートはデフォルトですべての保護対象オブジェクトおよびオブジェクトグループに適用されます。新しいオブジェクトも自動的に含まれます。
ステータスを「適用外」に設定することで、特定のオブジェクトを手動で除外できます。
脅威インテリジェンスモジュールに対して作成できるデフォルトテンプレートは 1 つだけです。
グローバルに適用する必要がある一般的なルールをデプロイします。
カスタムテンプレート
適用する保護対象オブジェクトまたはオブジェクトグループを手動で指定する必要があります。
特定のサービスに対して詳細なルールをデプロイします。
保護ルール:検出ロジックとレスポンスアクションを定義します。各ルールは 2 つの部分で構成されます。
ルールタイプ:検出する脅威のタイプを定義します。サポートされているタイプは、Website Scanning、Exploitation、Tor IP です。
ルールアクション:ルールにヒットしたときに実行するアクションを定義します。アクションの優先度は高い順に、ブロック、厳格なスライダー認証、スライダー認証、JS チャレンジ、モニターです。
適用対象:テンプレートのターゲットを指定します。適用対象を設定することで、保護ルールを特定の保護対象オブジェクトまたはグループに適用できます。
保護対象オブジェクト:WAF は、追加した各ドメイン名またはクラウド製品インスタンスに対して、自動的に保護対象オブジェクトを作成します。
保護対象オブジェクトグループ:複数の保護対象オブジェクトをグループに追加して、一元管理することができます。
操作手順
WAF 3.0 コンソールにログインします。トップメニューバーで、WAF インスタンスのリソースグループとリージョン ( 中国本土 または 中国本土以外 ) を選択します。左側のナビゲーションウィンドウで、 を選択します。
ステップ 1:脅威インテリジェンステンプレートのタイプ設定
Web コア保護 ページで、Threat Intelligence セクションの テンプレートの作成 をクリックします。テンプレートの作成 - 脅威インテリジェンス パネルで、次の設定を完了します。
テンプレート名:テンプレートの名前を設定します。
デフォルトテンプレート:脅威インテリジェンスモジュールに対して設定できるデフォルトテンプレートは 1 つだけです。テンプレートをデフォルトとして設定できるのは、作成時のみです。
はい:「はい」を選択した場合、有効対象 を設定する必要はありません。テンプレート作成後、デフォルトですべての保護対象オブジェクトおよびオブジェクトグループに適用されます。新しいオブジェクトも自動的に含まれます。ステータスを「適用外」に設定することで、特定のオブジェクトを手動で除外できます。
いいえ:「いいえ」を選択した場合、有効対象 を設定して、テンプレートを適用する保護対象オブジェクトまたはオブジェクトグループを指定する必要があります。
ステップ 2:保護ルールの設定
ルールの設定 セクションで、次の設定を完了します。
ルールタイプ:ビジネスニーズに基づいてルールタイプを選択し、特定の種類の攻撃から防御します。
ルールタイプ
説明
Website Scanning
これらの IP アドレスは、自動化ツールを使用してウェブサイトを探索し、技術アーキテクチャ、オープンポート、潜在的なセキュリティ脆弱性、またはその他の情報を特定します。
Exploitation
これらの IP アドレスは、Web アプリケーションのセキュリティ脆弱性を悪用して、悪意のある操作を実行したり、不正アクセスを行ったり、損害を引き起こす可能性があります。
Tor IP
これらの IP アドレスは Tor ネットワークの出口ノードです。Tor ネットワークを介して匿名でインターネットにアクセスするユーザートラフィックを表します。これらのユーザーからの通信は、これらの出口 IP アドレスによって識別されます。
Rule Action:リクエストがルールにヒットしたときに実行する保護アクションを選択します。
パラメーター
説明
JS 検証
WAF はクライアントに JavaScript スニペットを返します。標準的なブラウザはこのコードを自動的に実行します。クライアントが正常に実行した場合、WAF はそのクライアントからのすべてのリクエストを一定期間 (デフォルトは 30 分) 許可します。それ以外の場合は、リクエストをブロックします。
ブロック
ルールに一致するリクエストをブロックし、クライアントにブロックページを返します。
説明デフォルトでは、WAF は標準のブロックページを使用します。カスタムレスポンス を使用してブロックページをカスタマイズすることもできます。
モニター
ルールに一致するリクエストを通過させますが、一致イベントをログに記録します。ルールをテストする際は、まずアクションを モニター に設定し、WAF ログを分析して正当なトラフィックがブロックされないことを確認してからアクションを変更してください。
スライダー
WAF はクライアントにスライダー CAPTCHA ページを返します。クライアントがチャレンジに成功した場合、WAF はそのクライアントからのすべてのリクエストを一定期間 (デフォルトは 30 分) 許可します。それ以外の場合は、リクエストをブロックします。
厳密なスライダー
WAF はクライアントにスライダー CAPTCHA ページを返します。クライアントがチャレンジに成功した場合、リクエストは許可されます。それ以外の場合はブロックされます。このモードでは、クライアントはルールに一致するすべてのリクエストに対してスライダーチャレンジを完了する必要があります。
説明スライダー は、サブスクリプションベースの Enterprise Edition および Ultimate Edition インスタンス、および従量課金インスタンスでのみ利用可能です。
JS 検証 と スライダー は、同期リクエストにのみ適用されます。
XMLHttpRequestや Fetch API などを使用する非同期リクエストで機能が正しく動作するように、Web SDK をインジェクトしてください。 詳細については、ボット管理の「JS チャレンジ」および「スライダー CAPTCHA」のセクションをご参照ください。JS 検証 または スライダー が有効な場合、クライアントが検証を通過した後、WAF はレスポンスヘッダーに
Set-Cookieを介して Cookie を設定します。Cookie の名前は、JavaScript 検証の場合はacw_sc__v2、スライダー CAPTCHA の場合はacw_sc__v3です。クライアントは、後続のリクエストの Cookie ヘッダーにこの識別子を含めます。
詳細設定 (オプション):
設定項目
説明
Staged Rollout
異なるディメンションに基づいて、ルールが適用されるオブジェクトの割合を設定します。
段階的リリースを有効にした後、Dimension と Canary Release Proportion も設定する必要があります。Dimension には、IP、カスタムヘッダ、カスタムパラメーター、カスタム Cookie、または Session を指定できます。
説明段階的リリースは、設定された Dimension に基づいて有効になり、リクエストの割合でランダムに適用されるわけではありません。たとえば、Dimension が IP で、Canary Release Proportion が 10% の場合、WAF は約 10% の IP アドレスを選択します。選択された IP アドレスからのすべてのリクエストがルールの対象となります。ルールはすべてのリクエストの 10% にランダムに適用されるわけではありません。
Effective Mode
Permanently Effective (デフォルト):保護テンプレートが有効な間、ルールは常に有効です。
期間ごとに有効化する:保護ルールは指定された期間のみ有効です。
周期ごとに有効化する:保護ルールは指定された繰り返し期間のみ有効です。
ステップ 3:脅威インテリジェンステンプレートの適用対象の設定
有効対象 セクションで、このテンプレートが適用される 保護対象オブジェクトおよびオブジェクトグループ を選択します。
テンプレートの適用方法は、ステップ 1 の設定によって異なります。
テンプレートがデフォルトとして設定されている場合:適用対象を指定する必要はありません。テンプレート作成後、デフォルトですべての保護対象オブジェクトおよびオブジェクトグループに適用されます。新しいオブジェクトも自動的に含まれます。ステータスを「適用外」に設定することで、特定のオブジェクトを手動で除外できます。
テンプレートがデフォルトとして設定されていない場合:テンプレートを適用する保護対象オブジェクトおよびオブジェクトグループを指定する必要があります。
保護対象オブジェクトまたはオブジェクトグループの適用ステータスは、テンプレート作成中および作成後の両方で手動で調整できます。
日常のメンテナンス
保護テンプレートの管理:新しい保護テンプレートはデフォルトで有効になっています。保護テンプレートリストで次の操作を実行できます。
テンプレートに関連付けられている 保護対象 / グループ の数を表示します。
ステータス を使用して、テンプレートを有効または無効にします。
保護テンプレートの 編集、削除、または 複製 を行います。
テンプレート名の横にある
アイコンをクリックして、テンプレート内のルールを表示します。
保護ルールの管理:新しいルールはデフォルトで有効になっています。ルールリストで次の操作を実行できます。
ルールID や アクション などの情報を表示します。
ステータス スイッチを使用して、ルールを有効または無効にします。
よくある質問
脅威インテリジェンス機能と IP ブラックリスト機能の違いは何ですか?
IP ブラックリスト:静的なブロッキングのために IP アドレスを手動で追加する必要があります。サポートされているアクションはブロックとモニターのみです。
脅威インテリジェンス:脅威インテリジェンス機能は、Alibaba Cloud のグローバルなセキュリティデータに基づいて悪意のある IP を自動的に識別し、複数のルールアクションをサポートします。脅威 IP アドレスライブラリは自動的に更新され、プロアクティブで動的な防御を提供します。
Tor ネットワークとは何ですか?
Tor ネットワーク (The Onion Router の略) は、ユーザーのプライバシーと匿名性を保護するために設計されたオープンソースネットワークです。世界中のボランティアが運営するサーバーを介してトラフィックを複数回暗号化し、リレーすることで、オンラインでの匿名性を高めます。このプロセスにより、ユーザーの実際の IP アドレスとオンライン活動が隠されます。
Security Context では、Tor 出口ノードからのトラフィックは、アクセス制御をバイパスしたり、匿名攻撃を開始したりするために使用される可能性があります。そのため、WAF は Tor トラフィックを識別および管理する機能を提供し、潜在的なセキュリティリスクを軽減するのに役立ちます。