ブログに戻る

フォロー&ご登録

英語のみで利用可能

このページは現在英語でのみ閲覧可能です。ご不便をおかけして申し訳ございませんが、しばらくしてからこのページに戻ってください。

Fastly の次世代 WAF 向けのカスタムレスポンスコードでより優れたコントロールを

Blake Dournaee

Security Product Management、Manager, Fastly

セキュリティ コンピューティング

今回は、カスタムレスポンスコードについてご紹介します。この機能により、エッジクラウドネットワークが、Signal Sciences のテクノロジーを活用した Fastly の次世代 WAF のレスポンスコードを取得することが可能になります。高度なルールを作成することなくエッジでカスタムアクションを取ることができるので、お客様にとってよりカスタマイズされた、効率的なセキュリティが実現します。 

プロダクトマネージャーとして、この新機能の導入にあたり最もエキサイティングな点の1つが、レバレッジの概念です。過去に実現してきた小さな機能の積み重ねが、お客様に大きな価値もたらすことがあります。今回の新しい機能の導入にあたり思い出したのが、アルキメデスの有名な「私に支点を与えよ。そうすれば地球を動かしてみせよう」という名言です。

大袈裟な表現ではありますが、この機能がいかに素晴らしいかお分かりいただけると思います。プロフェッショナルプランとプレミアプランのお客様向けに今回ご紹介できることを嬉しく思います。地球を動かすことはともかく、お客様の最も機密性の高いアプリケーションや API に向けたより洗練されたセキュリティレイヤーになるでしょう。

エッジで配信

HTTP トラフィックに適用可能な優れたシグナルメタデータによる、今日の市場で最も洗練された WAF のひとつと言えます。Fastly の次世代 WAF のお客様は、リクエスト自体に関する広範なコンテキストに基づいて、リクエストをブロックまたはレート制限するルールを作成することができます。カスタムレスポンスコードは、エッジクラウドネットワークと連携し、お客様のセキュリティ対策を改善します。その方法とは ?攻撃をエッジでブロックし、弱めることで、アプリケーションレイヤーからエッジレイヤーへのエンフォースメントを実行します。 

カスタムレスポンスコードの導入前は、すべてのブロックが単純に HTTP 406 を返していました。つまり、アップストリームでできることには限界があったのです。でも、もう大丈夫です!ルールごとにカスタム HTTP レスポンスコードを指定する機能を追加することで、グローバルなエッジネットワークでカスタムエンフォースメントを実現できます。これにより、Fastly 次世代 WAF と連携して動作する Compute@Edge VCL の両方のアプリケーションに、エッジのプログラミング性と柔軟性が与えられます。また、タールピッティングACLエッジリダイレクトエッジレート制限 (ペナルティボックスあり) など、エッジのエンフォースメントをサポートする素晴らしいツールを多数ご用意しております。 

カスタムレスポンスコードの使用方法

これは、カスタムレスポンスコードの活用方法のほんの一例に過ぎません。

  • レスポンスをスローダウンしましょう。物事をスローダウンさせることはあまり良いこととされませんが、場合によってはメリットがあります。自動化されたトラフィックを扱っている予約サイト (医院、動物園、博物館などを思い浮かべてください) の多くで、CAPTCHAが使用されています。CAPTCHAは素晴らしいツールですが、回避されることも多く、ユーザーセッションに不必要な摩擦とフラストレーションをもたらすことがあります。 カスタムレスポンスコードは、レート制限のルールを使用してボットや疑わしい活動を識別するので、その問題を解決できます。検知機能が作動すると、エッジにカスタムレスポンスコードが送信されます。ブロックからタールピットといったより洗練されたエンフォースメントに変化させることができます。その結果、クライアントへの HTTP レスポンスは遅くなり、特にその規模が大きい場合には攻撃者にコストがかかります。ただし、日曜日に動物園に行くというような正当な予約をしている家族には影響がありません。 

  • 攻撃者を欺く。 ソフトウェアシステムへの侵入を試みる攻撃者にとって一般的な手法は、攻撃をしかけているシステムの挙動に特別な注意を払うことです。スタックトレースやサーバーのリターンコードは、攻撃者が攻撃手法を切り替える決断をするための良い情報になるからです。 重要なアプリケーションパスを保護する特定のリクエストルールに設定されたカスタムレスポンスコードを使用することで、Fastly のエッジは HTTP レスポンスをブロックされたリクエストではなく、エラーに見えるように書き換えることができます。このアプローチにより、攻撃者はバックエンドシステムが壊れているか、アクセス不能になっているかのように錯覚し、次世代 WAF が攻撃を捉えたことに気付きにくくします。この例では、Fastly のエッジが実際には406 (ブロック) を受け取ったのに、クライアントには404 (サーバーエラー) を返してしまうことができるのです。

  • エッジでのブロック。広範囲にわたる log4j の脆弱性のようにインターネットが最悪の事態をもたらす場合は、この機能がより厳格な対抗手段として働きます。我々の次世代 WAF だけで攻撃をブロックするのではなく、カスタムレスポンスコードを使用すれば問題のある IP を直ちに ACL に追加する、問題のある IP をペナルティボックスに入れるなど、エッジに指示することができます。ここでは、複数のレイヤーからなる防御によって攻撃者を内部システムから可能な限り遠ざけることを目的としています。

今すぐご利用ください

上記の3つの例を、アイデアを出して会話を始めるきっかけにしましょう。カスタムレスポンスコードの使い方は他にもたくさんあります。想像力を働かせてみましょう。Fastly 次世代 WAF プロフェッショナルプランおよびプレミアプランのお客様は、今すぐこの新機能をご利用いただけます。Fastly の次世代 WAF でのカスタムレスポンスコードの設定方法 

  1. Site Rules/Add メニューから、Actions セクションに移動し、Block を選択します。

  2. Action type の下にある、Change response をクリックします。Response code (optional) フィールドが表示されます。

  3. Response code (optional) フィールドに、ルールがリクエストをブロックしたときに返すカスタムレスポンスコードを入力します。400から499までの任意のコードを使用することができます。

  4. Rule editor の下部にある、Create site rule または Update site rule をクリックします。

Fastly 次世代 WAF を選ぶ理由詳細はこちら

Fastly
© Fastly 2024