ブログに戻る

フォロー&ご登録

英語のみで利用可能

このページは現在英語でのみ閲覧可能です。ご不便をおかけして申し訳ございませんが、しばらくしてからこのページに戻ってください。

Fastly の高度なエッジレート制限

Brooks Cunningham

Senior Security Strategist, Fastly

セキュリティ コンピューティング

Fastly の Next-Gen WAF の提供する高度なレート制限</u>を利用することで、お客様はクレデンシャルスタッフィングやカーディング、過度なスクレイピングなどさまざまな種類の詐欺や不正行為への保護対策を行えます。今回はその使用例を紹介しますが、その前にひとつお伝えしたい新しい情報があります。

Next-Gen WAF Premier が Fastly エッジにデプロイ</u>可能になり、オリジンよりさらに離れたアップストリームで多くのレート制限の判断を行えるようになりました。

高度なレート制限 vs エッジレート制限

高度なレート制限 (ARL)</u> は、攻撃者がお客様のサイトの弱点や脆弱性を時間をかけて分析する列挙攻撃から、お客様を保護します。ARL はこうした攻撃を特定、ブロックし、さらにシグナル</u>を使用してアプリケーションのさまざまな箇所で攻撃パターンを追跡できます。クレデンシャルスタッフィングやカーディング、過度なスクレイピングなどの攻撃は、大規模なブルートフォース攻撃と比べて、攻撃期間が長い上に、より巧妙な手口である場合があります。 

エッジレート制限 (ERL)</u> は高度なレート制限より高速で、数秒以内にレスポンスを返します。これにより、お客様のサイトの保護や、パフォーマンスとアップタイムの維持を目指して、迅速なレート制限のレスポンスが必要になる急激かつペースの速い攻撃に対応できます。 

高度なレート制限の例

お客様の多くは、こちらで紹介されているような設定で高度なレート制限を活用して、列挙攻撃への対策を講じています。

このタイプのルールは、Signal Sciences Terraform プロバイダーを利用して簡単に適用しやすいです。

以下は、terraform で実装した高度なレート制限ルールの例です。

#### Rate Limiting Enumeration Attempts - Start
resource "sigsci_site_signal_tag" "bad-response-signal" {
 site_short_name   = var.NGWAF_SITE
 name              = "bad-response"
 description       = "Identification of attacks from malicious IPs"


}


resource "sigsci_site_rule" "enumeration-attack-rule" {
 site_short_name = var.NGWAF_SITE
 type            = "rateLimit"
 group_operator  = "any"
 enabled         = true
 reason          = "Blocking IPs that have too many bad responses. Likely an enumeration attack."
 expiration      = ""


 conditions {
   type      = "single"
   field     = "responseCode"
   operator  = "like"
   value     = "4[0-9][0-9]"
 }
 conditions {
   type      = "single"
   field     = "responseCode"
   operator  = "like"
   value     = "5[0-9][0-9]"
 }
 # actions {
 #   type          = "blockSignal"
 #   signal        = "ALL-REQUESTS"
 #   response_code = 406
 # }


 actions {
   type = "logRequest"
   signal = sigsci_site_signal_tag.bad-response-signal.id
 }


 rate_limit = {
   threshold = 10,
   interval  =  1,
   duration  = 600,
   # clientIdentifiers = "ip" Defaults to IP
 }
 signal = sigsci_site_signal_tag.bad-response-signal.id


 depends_on = [
   sigsci_site_signal_tag.bad-response-signal,
 ]
}


#### Rate Limiting Enumeration Attempts - End

関連情報

Fastly Next-Gen WAF のエッジデプロイに関してはこちらのドキュメント</u>をご覧ください。

Terraform の利用者は、アップデートされて Next-Gen WAF のエッジデプロイに対応可能となった Signal Sciences Terraform プロバイダー</u>をぜひご確認ください。

10分以内に Fastly Next-Gen WAF のデプロイを完了する方法</u>

今すぐご利用ください

Fastly の NGWAF を使用して攻撃者からのアプリケーションを保護することに関心のある方は、Fastly にお問い合わせください</u>

Is your cybersecurity strategy too complex to succeed? Hear from over 1,400 IT decision makers.

詳細

<p></p>

Fastly
© Fastly 2024