Fastly Next-Gen WAF

アーキテクチャとデプロイの概要

Web アプリケーションファイアウォール (WAF)API キュリティセキュリティ

このデータシートでは、高いパフォーマンスを発揮する Fastly Next-Gen WAF特許取得済みアーキテクチャと、幅広いデプロイオプションについてご紹介します。

内容

環境を問わない Web アプリと API統合型セキュリティソリューション

Fastly は、コンテナ、オンプレミス、クラウド、エッジなど、あらゆる環境でアプリと API を保護する、WAF 市場で最も柔軟性の高い統合型ソリューションを提供します。パフォーマンスを犠牲にしたり、管理のために専用スタッフを追加したりする必要がなく、包括的な保護を実現できます。Fastly Next-Gen WAF (Powered by Signal Sciences) は複雑な調整が不要ですぐに使用できる上、有効性が高いため、90%以上のお客様がフルブロックモードで使用しています。

Fastly Next-Gen WAF は最先端のアプリが必要とするプロアクティブな保護を提供し、既存の DevOps とセキュリティのツールチェーンに統合することで、卓越した可視性を実現します。この柔軟なアーキテクチャにより、開発、運用、セキュリティの各チームは Web アプリケーションや API への攻撃が発生した際に、その場所や手口についてインサイトが得られるため、アプリケーションのセキュリティ戦略をさらに進化させることができます。

アーキテクチャの概要

Next-Gen WAF Architecture Overview diagram

Fastly Next-Gen WAF は、3つの主要コンポーネントで構成されるハイブリット SaaS (Software as a Service) です。Signal Sciences が開発した特許取得済みのアプローチにより優れたスケーラビリティを実現し、大量のリクエストを受信するアプリケーションや API でも、パフォーマンスに影響を与えることなく効果的に保護します。

エージェント

お客様の既存のインフラストラクチャにデプロイされた軽量のエージェントが、リクエストに対する検出と判断を迅速かつ正確に実行します。

エージェントは小さなデーモンプロセスで構成されています。ローカル環境で正確な検出と判断を高速に実行し、非常に高い負荷にも対応できるよう設計されています。エージェントは処理した悪意のあるリクエストに関するメタデータも収集し、それを Cloud Engine と共有します。Fastly Next-Gen WAF は、最大規模の Webサイトを保護しており、本番環境で何万ものエージェントが何兆件ものリクエストを処理していますが、アプリや API のパフォーマンスを損ねることはありません。エージェントは、攻撃がアプリケーションや API に到達する前にブロックするだけでなく、受信したリクエストやサーバーのレスポンス、アプリケーションの動作異常なども可視化することができます。

モジュール

エージェントと連動して高いパフォーマンスと信頼性を確保する、オプションでありながら強力なコンポーネントです。

モジュールは、ほぼすべての Web サーバー (NGINX、Apache、IIS など) やアプリケーション言語 (.NET、Java、Python、PHP、.nodeJS など) で実行可能です。たった数百行のコードで構成されていますが、高い信頼性とパフォーマンス両方の実現に役立ちます。モジュールの唯一の役割は、エージェントにリクエストを送り、エージェントから受け取った判断を実行することであり、アプリケーションへのリクエストの許可や、リクエストのログまたはブロックを行います (コンソールで設定されたモードによります)。

Cloud Engine

外部および独自のソースから収集したインテリジェンスを使用してエージェントを非同期で強化し、アプリケーション固有の動的な検出を可能にするクラウドホスティング型の分析バックエンドです。

Cloud Engine は、顧客ベース全体から何千ものソフトウェアエージェントを通じて匿名化された攻撃データとテレメトリを収集し、分析します。エージェントは Cloud Engine のデータをローカルで利用することで、より適切な検出と、より積極的なブロッキング判断を行うことが可能です。エージェントの判断は、NLX (Network Learning Exchange) によって強化されています。NLX は管理コンソール内で既知の悪質な IP ソースを共有し、アプリケーションや API が脅威に晒される前に疑わしいユーザーに関するアラートを発信します。その他のフィードには悪質な IP の外部リストとお客様のカスタム IP リストが含まれており、これらはすべて、さらなるリクエストコンテキストとしてエージェントによる判断の強化に貢献します。この可視性とコンテキストは、Fastly の API に加え、お客様がすでに使用している DevOps ツール (Slack、PagerDuty、Jira など) や、セキュリティツール (Elastic、Palo Alto Networks の Cortex XSOAR など) とのネイティブ統合を通じて共有されます。またアプリケーションフットプリント全体のメトリクスとイベントレポートも、単一管理コンソールのダッシュボードで簡単に確認することができます。

デプロイオプション

データセンター、クラウド、コンテナ、サーバーレス環境向けのネイティブデプロイオプションをご利用いただけます。

デプロイオプション 1 : クラウドおよびコンテナネイティブ

ご利用の Web サーバー、API ゲートウェイ、またはアプリレベルで、Fastly Next-Gen WAF のエージェントとモジュールのペアを数分でインストールできます。Fastly WAF のエージェントはインフラ環境に依存しないため、開発言語やフレームワーク、依存関係を気にすることなく、必要な場所に柔軟にデプロイできます。

Next-Gen WAF Cloud Container diagram
Kubernetesサービスメッシュへのデプロイ

Kubernetes などの新しいアプリツールやフレームワークの登場で、企業は DevOps に特化した環境へ急速に移行しています。企業がかつてないスピードでコードをリリースする中、Fastly はお客様のコンテナ戦略に最適な、柔軟性の高い複数のデプロイオプションを提供します。 これらは Kubernetes に Fastly Next-Gen WAF をインストールできる3つの「レイヤー」と、4つのデプロイ方法で構成されています。さらに、Envoy Proxy や Istio などのサービスメッシュとのネイティブ統合により、縦方向 (クライアントとサーバー間) と横方向 (サービス間) の両方のリクエストに対する可視性が得られます。

以下はFastly WAF との完全な統合が可能なデプロイ先です。
NGWAF logo row - Architecture


デプロイオプション 2 : データセンター & レガシーアプリケーション

レガシーアプリケーションやデータセンターにデプロイされているアプリケーションの保護を必要とする場合、2つのデプロイオプションがあります。ひとつは、Web リクエストがアプリケーションや API エンドポイントに到達する前にトラフィックを検査できるように Fastly Next-Gen WAF をインストールする方法です。例えば、ロードバランサー (HAProxy、NGINX) や API ゲートウェイ (Ambassador、Kong、Cloudentity) に Fastly WAF のモジュールをインストールすることが可能です。ロードバランサーや API ゲートウェイへのインストールが難しい場合は、Fastly WAF のエージェントをリバースプロキシモードでデプロイできます。いずれのデプロイオプションでもフル機能へのアクセスが可能で、他のデプロイオプションと同じレベルの可視性と実用的なインサイト、およびアラート機能をご利用いただけます。

NGWAF-Architecture_Datacenter-Legacy_Datasheet-diagram


デプロイオプション 3 : エッジへのデプロイ

Fastly Next-Gen WAF を Fastlyエッジクラウドネットワークで使用し、Fastly 配信サービスの一環としてセキュリティ対策を強化することができます。エッジクラウドへのデプロイオプションでは、Fastly のキャッシュレイヤーである Varnish にシームレスに統合できます。

これにより、ユーザーにより近い場所での保護と脅威への迅速な対応が可能になり、不正な攻撃トラフィックからオリジンシステムを守ると同時に、トップクラスのパフォーマンスを維持できます。エッジへのデプロイは、既存のインフラストラクチャにソフトウェアをインストールできないお客様や、Fastly のグローバルなコンテンツ配信ネットワーク (CDN) のパフォーマンス上のメリットを活用したいとお考えのお客様に最適です。このデプロイオプションでは、レイヤー3、およびレイヤー4での常時オンの DDoS 対策と TLS 管理を含む追加機能もご利用可能です。

NGWAF-Architecture_EdgeCloud_Datasheet-diagram


デプロイオプション 4 : Cloud WAF

Cloud WAF を使用すると、インフラストラクチャにソフトウェアをインストールすることなく、迅速かつ簡単に Web アプリケーションや API、マイクロサービス、サーバーレスアプリケーションを保護できます。デプロイ後に、DNS に簡単な変更を加えてアプリケーションのトラフィックを Cloud WAF に向けるだけで、Fastly Next-Gen WAF がアプリケーションを保護し、セキュリティに関する可視性を提供します。すべての Web リクエストは Fastly WAF のクラウド実行レイヤーにリダイレクトされ、不正なリクエストが検出・ブロックされます。すべての正常なトラフィックは、お客様のアプリケーションのオリジンサーバーに転送されます。Cloud WAF は CDN レイヤーの上流に変更を加えることなく、簡単に管理できる WAF をお求めのお客様に最適です。

NGWAF-Architecture_CloudWAF_Datasheet-diagram

Protection that’s committed to data privacy

Many leading financial services firms, healthcare companies, and others with strict data privacy requirements all utilize Fastly’s next-gen WAF because of our strong architecture built for data privacy. All sensitive data is handled entirely within the customer environment and only sanitized and redacted portions of requests that are marked as attacks or anomalies are then sent to the Fastly Cloud Engine. 

Once the agent identifies a potential attack or anomaly in a request, a set of fully customizable redactions are applied locally and then the agent sends only the redacted individual parameter of the request which contains the attack payload, as well as a few other non-sensitive or benign portions of the request, such as client IP, user agent, URI, etc. Our backend only collects the response’s metadata e.g. response codes, sizes, and times. We provide customers the ability to fully customize redaction policies and fields as needed. For additional protection, Fastly automatically enforces redaction of common sensitive data types—such as passwords, keys, GUIDs, and any type of PII or PHI—before the request is sent to our backend. 

Betterment logo

“It works straight out of the box, scales automatically, and does a great job at providing visibility while securing the application.”

Anson Gomes

Lead Security Engineer

DevOpsセキュリティのツールチェーンに統合

アプリケーションと API を効果的に保護するためには、開発チーム、運用チーム、セキュリティチームがすでに使用しているツールを通じて同じベースラインのセキュリティデータを取得できるようにすることが重要です。Fastly は業界トップクラスのツールやプラットフォームと連携し、お客様の DevOps とセキュリティのツールチェーンにリアルタイムでアラートを送信します。お客様は、Fastly が提供する本番環境のセキュリティに関するテレメトリを既存のツールやワークフロー内で簡単に利用して、さらに詳細な調査や分析を行うことができます。

導入後、すぐにこれらのツールに容易に統合できるため、最先端の開発モデルやアーキテクチャへの移行を後押しします。またワンクリック統合には、最も一般的な開発・運用アラートエンジン、ChatOps、プロジェクト管理システム、インシデント追跡システムなどの機能が含まれます。

統合可能なテクノロジー & プラットフォーム

あらゆる環境で実行可能な Fastly Next-Gen WAF

Web サーバー

NGWAF logo-row WebServers

IaaS
NGWAF logo-row IAAS

PaaS
NGWAF logo-row PAAS

コンテナ
NGWAF logo-row Containers

設定管理
NGWAF logo-row Config-Mgmt


統合可能なフィード & パートナー

Fastly Next-Gen WAF とデータを送受信

DevOps ツールチェーン

NGWAF logo-row DevOps-Toolchain

SIEM/SOAR

NGWAF logo-row SOC+SIEM

Datasheet
Fastly Next-Gen WAF datasheet

DevOps ツールとの連携が可能な Fastly の WAF を使用して Web レイヤー攻撃から防護する方法をご紹介します。

Blog Post
The WAF Efficacy Framework

WAF 有効性フレームワークは、WAF の有効性の測定に役立ちます。

Analyst Report
Gartner® Magic Quadrant™ for WAAP Report

Fastly は、Cloud WAAP 部門の「チャレンジャー」に選出されました。このレポートでは、他のベンダーとの比較をご紹介します。

Analyst Report
Gartner® Peer Insights “Voice of the Customer”: WAAP

Fastly は数あるベンダーの中、唯一5年連続で「Customers’ Choice」に選出されました。

Fastly試してみませんか ?