OCI WAFについて

Transcript

1. © 2024 Database Technology Inc. All Rights Reserved. 株式会社データベーステクノロジ OCI

   WAFについて 2024年9月9日 (月) 下山 星夜

2. © 2024 Database Technology Inc. All Rights Reserved. 2 はじめに

   本書は、Oracle Cloud Infrastructure（以下「OCI」）のマネージドサービ スであるOCI WAFについて、弊社の解釈による解説を付記して紹介するもの です。 OCIの各サービスにおける最新情報については、オラクル社による公式情報 をご確認ください。 OCIコンソールの実際の画面は、本書と若干異なる可能性がございます。

3. © 2024 Database Technology Inc. All Rights Reserved. 3 Index

   1. WAFとは 2. OCI WAFとは 3. エッジポリシー（WAF v1）とは 4. WAFポリシー（WAF v2）とは 5. 各OCI WAFポリシーの違いについて 6. エッジポリシーの防御方法について 1. BOT管理について 2. アクセス制御について 3. 脅威インテリジェンスについて 4. 保護ルールについて 7. WAFポリシーの防御方法について 1. アクセス制御について 2. レート制限について 3. 保護ルールについて 8. まとめ

4. © 2024 Database Technology Inc. All Rights Reserved. 4 1.

   WAFとは

5. © 2024 Database Technology Inc. All Rights Reserved. 5 1：WAFとは

   ⚫ WAF は Web Application Firewall の略 ⚫ Webアプリケーションへのサイバー攻撃を防ぐ ⚫ 脆弱なWebアプリケーションの保護に特化している Webアプリケーションを使用する場合は、WAFが有効的

6. © 2024 Database Technology Inc. All Rights Reserved. 6 1：サイバー攻撃について

   ⚫ サイバー攻撃の種類は様々（クロスサイトスクリプティング、SQLイン ジェクション、ブルートフォースアタック、DDoS、etc.） ⚫ サイバー攻撃は多様化しており、甚大な被害をもたらす ⚫ 背景に、ECサイトを始めとしたWebサービスの普及に伴う脆弱性の増加 攻撃方法も巧妙化しており、 近年非常に増加している

7. © 2024 Database Technology Inc. All Rights Reserved. 7 1：WAFでは何を防げるのか1

   ⚫ WAFはWebアプリケーション保護特化なので、他の防御方法と組み合わせ る必要がある ⚫ 各防御方法の考え方 ⚫ WAF：Webアプリケーションレベルの防御 ⚫ IDS／IPS：OS・Webサーバレベルの防御 ⚫ FW（FireWall）：ネットワークレベルの防御 防御方法によって防げる攻撃が異なる

8. © 2024 Database Technology Inc. All Rights Reserved. 8 1：WAFでは何を防げるのか2

   ネットワーク OS Webシステム Webサーバ Webアプリケーション IDS／IPS ファイアウォール WAF ネットワークレベルの攻撃 OS・Webサーバレベルの攻撃 Webアプリケーションレベルの攻撃 ポートスキャン、など SYNフラッド攻撃、 DoS攻撃、など SQLインジェクション、 クロスサイトスクリ プティング、など

9. © 2024 Database Technology Inc. All Rights Reserved. 9 2.

   OCI WAFとは

10. © 2024 Database Technology Inc. All Rights Reserved. 10 2：OCI

    WAFとは ⚫ OCI WAFの概要 ⚫ WAFをクラウド型で提供する、OCIのマネージドサービス ⚫ 2種類の OCI WAFポリシーが存在する ⚫ エッジポリシー（WAF v1） ⚫ WAFポリシー（WAF v2） ⚫ エッジポリシーとWAFポリシーでは、設定方法や防御方法が異なる 構成に合わせて、適切なOCI WAFポリシーを使用 OCI WAF

11. © 2024 Database Technology Inc. All Rights Reserved. 11 2：OCI

    WAFの特徴について ⚫ Webアプリケーションの保護 ⚫ 様々なサイバー攻撃のトラフィックを解析 ⚫ Webアプリケーションのプロキシとして動作し、多層的に不正なアクセスを検出し遮 断する ⚫ OCIの専門チームが24時間365日監視・対応 ⚫ OCI WAFは常に進化している ⚫ 毎月の無料枠が豊富 ⚫ 1個のOCI WAFポリシー ⚫ 1000万件の受信したリクエスト

12. © 2024 Database Technology Inc. All Rights Reserved. 12 3.

    エッジポリシー（WAF v1）とは

13. © 2024 Database Technology Inc. All Rights Reserved. 13 3：エッジポリシーとは

    ⚫ エッジポリシー（WAF v1） ⚫ 2019/02 から提供されている古いWAF ⚫ 世界中のリージョンにあるOCIのエッジPOPに設定されているWAFサーバにデプロイ ⚫ POP（Point Of Presence）はアクセスポイント ⚫ グローバルなエッジPOPは、現在11箇所ある（東京やアッシュバーンなど） ⚫ WAFの設定を変更した場合は、変更の公開が必要であり、反映までに10分以上かかる ⚫ CNAMEレコードを用いて、エッジPOPに設定されているWAFサーバの中でクライア ントに一番近いものを経由 ⚫ 複雑な構成だが、フルスタックのWAF機能を使用可能 ⚫ パブリックなWebアプリケーションが対象

14. © 2024 Database Technology Inc. All Rights Reserved. 14 Tips：エッジポリシーにおけるWAFサーバの経由方法

    ⚫ グローバルIPアドレスとドメイン名 ⚫ Webサーバには、グローバルIPアドレス（8.8.8.8など）がある ⚫ グローバルIPアドレスに対応するドメイン名（example.com）も取得可能 ⚫ CNAMEレコード ⚫ エッジポリシー作成時、ドメイン名に対応するCNAMEターゲット（example- com.o.waas.oci.oraclecloud.net）が作成される ⚫ CNAMEターゲットは、WAFサーバのドメイン名 ⚫ ドメイン名からCNAMEターゲットにリンクするためのCNAMEレコードを作成 ⚫ CNAMEレコードにより、ドメイン名を使用したリクエストが、クライアントに一番近いWAF サーバを経由

15. © 2024 Database Technology Inc. All Rights Reserved. 15 Edge

    POP（Tokyo） WAF サーバ Edge POP（Ashburn） WAF サーバ 3：エッジポリシーの動作 OCI Region:ap-tokyo-1 Availability Domain 1 Subnet A 10.1.0.0/27 Web Server VCN On-Premises Virtual Machine 利用者 ハッカー ハッカー OCI WAF

16. © 2024 Database Technology Inc. All Rights Reserved. 16 3：エッジポリシーの画面

    防御方法の管理 ドメインのDNSレコード更新を利用

17. © 2024 Database Technology Inc. All Rights Reserved. 17 4.

    WAFポリシー（WAF v2）とは

18. © 2024 Database Technology Inc. All Rights Reserved. 18 4：

    WAFポリシーとは ⚫ WAFポリシー（WAF v2） ⚫ 2021/10 から提供されている新しいWAF ⚫ OCI ロードバランサに直接デプロイ ⚫ フレキシブルロードバランサのみサポート ⚫ ネットワークロードバランサはサポートしていない ⚫ 複数のロードバランサにデプロイ可能 ⚫ WAFの設定を変更した場合は、すぐに反映される ⚫ エッジポリシーよりも簡単でシンプルな設定・構成 ⚫ パブリックおよびプライベートなWebアプリケーションが対象

19. © 2024 Database Technology Inc. All Rights Reserved. 19 4：

    WAFポリシーの動作 OCI Region:ap-tokyo-1 Availability Domain 1 Subnet A 10.1.0.0/27 Web server Load Balancer VCN On-Premises Virtual Machine Load Balancer Internet Gateway ハッカー 利用者 OCI WAF

20. © 2024 Database Technology Inc. All Rights Reserved. 20 4：WAFポリシーの画面

    防御方法の管理 ロードバランサにデプロイ

21. © 2024 Database Technology Inc. All Rights Reserved. 21 5.

    各OCI WAFポリシーの違いについて

22. © 2024 Database Technology Inc. All Rights Reserved. 22 5：各OCI

    WAFポリシーの違いについて 設定が簡単！ 設定が複雑…… 豊富な防御方法！ シンプルな 防御方法…… エッジポリシー WAFポリシー

23. © 2024 Database Technology Inc. All Rights Reserved. 23 5：各OCI

    WAFポリシーの設定と防御方法の表 評価基準 エッジポリシー WAFポリシー アプリケーションの エンドポイント パブリックのみ パブリックおよびプライベート アクセス制御 〇 〇 （HTTPリクエストとHTTPレスポンス） 脅威インテリジェンス 〇 × 保護ルール 〇 〇 BOT対策 〇 × レート制限 〇 （BOT管理のアドレスレート制限） 〇

24. © 2024 Database Technology Inc. All Rights Reserved. 24 6.

    エッジポリシーの防御方法について

25. © 2024 Database Technology Inc. All Rights Reserved. 25 6：エッジポリシーの防御方法について

    フルスタックのWAF機能により、多層的に防御 1. BOT管理 2. アクセス制御 3. 脅威インテリジェンス 4. 保護ルール エッジポリシーは防御方法は豊富だが、設定が複雑

26. © 2024 Database Technology Inc. All Rights Reserved. 26 6：エッジポリシーの処理の順序

    ⚫ ブラックリスト・ホワイトリスト ⚫ IPアドレスホワイトリスト（アクセス制御） ⚫ 良好なBOTホワイトリスト（BOT管理） ⚫ 脅威インテリジェンスによるIPブラックリスト ⚫ アクセスルール（アクセス制御） ⚫ アドレスレート制限（BOT管理） ⚫ JavaScriptチャレンジ（BOT管理） ⚫ デバイスフィンガープリントチャレンジ（BOT管理） ⚫ ヒューマンインタラクションチャレンジ（BOT管理） ⚫ CAPTHCAチャレンジ（BOT管理） ⚫ 保護ルール 処 理 の 流 れ

27. © 2024 Database Technology Inc. All Rights Reserved. 27 6-1.

    BOT管理について

28. © 2024 Database Technology Inc. All Rights Reserved. 28 6-1：BOT管理について

    ⚫ BOT管理 ⚫ 状況に応じてBOTトラフィックを制御 ⚫ 制御の方法 A) JavaScriptチャレンジ B) ヒューマンインタラクションチャレンジ C) デバイスフィンガープリントチャレンジ D) CAPTCHAチャレンジ E) 良好なBOTホワイトリスト F) アドレスレート制限

29. © 2024 Database Technology Inc. All Rights Reserved. 29 6-1-A：JavaScriptチャレンジについて

    ⚫ JavaScriptチャレンジ ⚫ リクエストがブラウザから行われたものかどうかを判断 ⚫ JavaScriptによるチャレンジがクライアントに送られ、そのチャレンジを無視してリ クエストが送られた場合、トラフィックを制御 ⚫ 制御の種類 ⚫ 検出のみ ⚫ ブロック ⚫ レスポンスコードの設定 ⚫ エラーページの表示 ⚫ CAPTCHAを表示

30. © 2024 Database Technology Inc. All Rights Reserved. 30 6-1-B：ヒューマンインタラクションチャレンジについて

    ⚫ ヒューマンインタラクションチャレンジ ⚫ リクエストが人間の操作によるものかどうかを判断 ⚫ マウス移動、サイト滞在時間、ページスクロールといった人間特有の操作を検出 ⚫ ブラウザ内の様々なイベントリスナーをチェックし、トラフィックを制御 ⚫ 制御の種類 ⚫ 検出のみ ⚫ ブロック ⚫ レスポンスコードの設定 ⚫ エラーページの表示 ⚫ CAPTCHAを表示

31. © 2024 Database Technology Inc. All Rights Reserved. 31 6-1-C：デバイスフィンガープリントチャレンジについて

    ⚫ デバイスフィンガープリントチャレンジ ⚫ ブラウザ経由で取得出来るパラメータを基に判断 ⚫ 仮想ブラウザと実ブラウザでハッシュ化されたフィンガープリントを生成し、それを 基にトラフィックを制御 ⚫ 制御の種類 ⚫ 検出のみ ⚫ ブロック ⚫ レスポンスコードの設定 ⚫ エラーページの表示 ⚫ CAPTCHAを表示

32. © 2024 Database Technology Inc. All Rights Reserved. 32 6-1-D：

    CAPTCHAチャレンジについて ⚫ CAPTCHAチャレンジ ⚫ CAPTCHAを表示して、人間からのアクセスに限定 ⚫ 人間は判別可能で、コンピュータのプログラムには判別不可能

33. © 2024 Database Technology Inc. All Rights Reserved. 33 6-1-E：良好なBOTホワイトリストについて1

    ⚫ 良好なBOTホワイトリスト ⚫ Googleの様な、既知のプロバイダをリスト化 ⚫ IPアドレスホワイトリストは、二番目に評価される ⚫ 特定の良好なBOTは、WAFの制御対象から除外する事が可能で、対象のトラフィック はWAFによって制御されず、全て許可される

34. © 2024 Database Technology Inc. All Rights Reserved. 34 6-1-E：良好なBOTホワイトリストについて2

    良好なBOTに対するホワイトリストの 有効化／無効化を選択

35. © 2024 Database Technology Inc. All Rights Reserved. 35 6-1-F：アドレスレート制限について

    ⚫ アドレスレート制限 ⚫ 同一IPからのリクエスト制限を設けて制御 ⚫ レイヤー7のDDoS攻撃やブルートフォース攻撃に対して、有効的（レイヤー3／4の DDoS攻撃への防御は、OCIレベルで提供されている） ⚫ OCIコンソール画面では設定できず、APIやOCI CLIを使って設定を行う ⚫ 制御の種類 ⚫ ブロック ⚫ レスポンスコードの設定

36. © 2024 Database Technology Inc. All Rights Reserved. 36 6-2.

    アクセス制御について

37. © 2024 Database Technology Inc. All Rights Reserved. 37 6-2：アクセス制御について

    ⚫ アクセス制御 ⚫ 条件に一致するトラフィックを制御 ⚫ 制御の方法 A) アクセスルール B) IPアドレスホワイトリスト

38. © 2024 Database Technology Inc. All Rights Reserved. 38 6-2-A：アクセスルールについて1

    ⚫ アクセスルール ⚫ リクエストの属性に応じて、トラフィックを制御 ⚫ 様々な属性が使用可能で、複数の条件からなるアクセスルールも作成可能 ⚫ 制御の種類 ⚫ ログに記録し許可 ⚫ 検出のみ ⚫ ブロック ⚫ リダイレクト ⚫ バイパス（BOT管理で行われる特定のチャレンジを、例外的に省略） ⚫ CAPTCHAを表示

39. © 2024 Database Technology Inc. All Rights Reserved. 39 6-2-A：アクセスルールについて2

    評価基準 内容 備考 ・URL ・is（次の通り） ・is not（次の通りではない） ・starts with（次で始まる） ・does not start with（次で始まらない） ・part ends with（次で終わる） ・part does not end with（次で終わらな い） ・part contains（次を含む） ・part does not contain（次を含まない） ・regex（正規表現） ・does not match regex（正規表現不一致） ・URL正規表現一致では、Perl互換の正規表現が 使用されます。 細かい条件設定が可能

40. © 2024 Database Technology Inc. All Rights Reserved. 40 6-2-A：アクセスルールについて3

    評価基準 内容 備考 ・国／リージョン ・ユーザエージェント ・HTTPメソッド ・is（次の通り） ・is not（次の通りではない） ・国／リージョンでは、APIの場合は2文 字の国コードを使用します。 ・使用可能なHTTPメソッドは、GET、 POST、PUT、DELETE、HEAD、 CONNECT、OPTIONS、TRACE、 PATCHです。 ・HTTPヘッダ ・contains（次を含む） ・<name>: <value>のように入力しま す。ワイルドカードは使用出来ません。 ・IPアドレス ・is（次の通り） ・is not（次の通りではない） ・in Address List（アドレスリストにある） ・not in Address List（アドレスリストにな い） ・IPv4、CIDRをサポートしていますが、 IPv6はサポートしていません。 ・IPアドレスリストを選択する場合は、 事前に作成しておきます。 細かい条件設定が可能

41. © 2024 Database Technology Inc. All Rights Reserved. 41 6-2-B：IPアドレスホワイトリストについて

    ⚫ IPアドレスホワイトリスト ⚫ 許可したい接続元のIPアドレスを記述 ⚫ IPアドレスホワイトリストは、一番最初に評価される ⚫ 特定のIPv4かCIDRは、WAFの制御対象から除外する事が可能で、対象のトラフィッ クはWAFによって制御されず、全て許可される IPアドレスホワイトリストは使い方に気を付けて！

42. © 2024 Database Technology Inc. All Rights Reserved. 42 6-3.

    脅威インテリジェンスについて

43. © 2024 Database Technology Inc. All Rights Reserved. 43 6-3：脅威インテリジェンスについて

    ⚫ 脅威インテリジェンス ⚫ 複数の外部機関から提供された、悪意のあるIPアドレスリストを使った制御 ⚫ OCIコンソール画面では設定できず、APIやOCI CLIを使って設定を行う ⚫ IPアドレスリストは毎日更新され、最新のソースは以下のリンクから確認可能 ⚫ https://docs.oracle.com/ja-jp/iaas/Content/WAF/Tasks/threatintel.htm ⚫ 制御の種類 ⚫ オフ ⚫ 検出 ⚫ ブロック

44. © 2024 Database Technology Inc. All Rights Reserved. 44 6-4.

    保護ルールについて

45. © 2024 Database Technology Inc. All Rights Reserved. 45 6-4：保護ルールについて

    ⚫ 保護ルール ⚫ 保護ルールに一致するトラフィックを制御 ⚫ 約680の保護ルールがあり、以下のリンクから確認可能 https://docs.oracle.com/ja- jp/iaas/Content/WAF/Reference/protectionruleids.htm#Supported_Protection_Rules ⚫ 有効化できる保護ルールは最大で100個まで ⚫ 制御の種類 ⚫ オフ ⚫ 検出のみ ⚫ ブロック ⚫ 除外（条件に合う場合は、例外的に保護ルールの制御から除外される）

46. © 2024 Database Technology Inc. All Rights Reserved. 46 6-4：カスタム保護ルールについて

    ⚫ カスタム保護ルール ⚫ 保護ルールを自分で作成する事も可能 ⚫ 有効化できる保護ルールの上限に含まれる ⚫ カスタム保護ルールとしてModSecurityルール言語を使用しており、以下のリンクから 確認可能 https://github.com/owasp-modsecurity/ModSecurity

47. © 2024 Database Technology Inc. All Rights Reserved. 47 6-4：推奨事項について

    ⚫ 一定期間のトラフィックを機械学習で自動分析し、環境に合わせた保護 ルールの推奨事項を提示 ⚫ 制御の種類は、デフォルトでは検出のみが推奨される ⚫ 必要に応じて制御の種類を変更

48. © 2024 Database Technology Inc. All Rights Reserved. 48 6-4：保護設定について

    特定の保護ルールは、 固有で設定されている 有効化できる保護ルール の上限に含まれない

49. © 2024 Database Technology Inc. All Rights Reserved. 49 Tips：保護ルールの分類とは？

    ⚫ 保護ルールの分類 1. OWASP ModSecurity Core Rule Set（CRS） & Top10 2. Common Attack Pattern Enumeration & Classification（CAPEC） 3. CVE（共通脆弱性識別子） 4. WASC Threat Classification（WASCTC） 5. Oracle独自定義 ⚫ 保護ルールはタグ付けされており、タグで分類を識別可能 ⚫ WAFポリシーではタグによるフィルタ検索が可能だが、エッジポリシーでは不可能 （Ctrl + F でブラウザ検索をするしかない）

50. © 2024 Database Technology Inc. All Rights Reserved. 50 Tips-1：OWASP

    ModSecurity Core Rule Set（CRS） & Top10 とは ⚫ OWASP ModSecurity Core Rule Set（CRS） & Top10 ⚫ OWASP ModSecurity Core Rule Set（CRS） ⚫ WAFで使用するための、一般的な攻撃検出ルールセット ⚫ https://owasp.org/www-project-modsecurity-core-rule-set/ ⚫ OWASP Top10 ⚫ 特に危険性が高いトップ10の項目（2017年版調査結果と2021年版調査結果がある） ⚫ https://owasp.org/www-project-top-ten/ ⚫ 特に危険性が高い項目や一般的な攻撃への防御に役立つ

51. © 2024 Database Technology Inc. All Rights Reserved. 51 Tips-2：Common

    Attack Pattern Enumeration & Classification（CAPEC）とは ⚫ Common Attack Pattern Enumeration & Classification（CAPEC） ⚫ セキュリティ攻撃パターンを網羅的に分類・カタログ化 ⚫ https://capec.mitre.org/ ⚫ まるで辞書の様な内容で、包括的な防御に役立つ コンソール上ではCAPECとしか書かれていないので、 詳細を知りたい場合は、CAPECのHPで検索

52. © 2024 Database Technology Inc. All Rights Reserved. 52 Tips-3：CVE（共通脆弱性識別子）とは

    ⚫ CVE（共通脆弱性識別子） ⚫ 公開されているサイバーセキュリティの脆弱性を定義・カタログ化 ⚫ https://www.cve.org/ ⚫ まるで辞書の様な内容で、包括的な防御に役立つ CVEはIDまで表記されている。 詳細を知りたい場合は、CVEのHPで検索

53. © 2024 Database Technology Inc. All Rights Reserved. 53 Tips-4：WASC

    Threat Classification（WASCTC）とは ⚫ WASC Threat Classification（WASCTC） ⚫ Webセキュリティ上の脅威を明確化して整理 ⚫ http://projects.webappsec.org/w/page/13246978/Threat%20Classification ⚫ まるで辞書の様な内容で、包括的な防御に役立つ WASCTCとしか書かれていないので、 詳細を知りたい場合は、WASCTCのHPで検索

54. © 2024 Database Technology Inc. All Rights Reserved. 54 Tips-5：Oracle独自定義とは

    ⚫ Oracle独自定義 ⚫ Oracleによって独自に定義された項目 ⚫ https://docs.oracle.com/ja-jp/iaas/Content/WAF/Reference/protectionruleids.htm ⚫ よく推奨事項に表示される 他の分類に使われていたタグが無いのが Oracle独自定義

55. © 2024 Database Technology Inc. All Rights Reserved. 55 7.

    WAFポリシーの防御方法について

56. © 2024 Database Technology Inc. All Rights Reserved. 56 7：

    WAFポリシーの防御方法について ⚫ シンプルなWAF機能により、多層的に防御 1. アクセス制御 2. レート制限 3. 保護 WAFポリシーは防御方法はシンプルだが、設定が簡単

57. © 2024 Database Technology Inc. All Rights Reserved. 57 7：

    WAFポリシーの処理の順序 ⚫ リクエスト制御（アクセス制御） ⚫ レート制限 ⚫ 保護ルール（保護） ⚫ リクエスト保護ルール（保護） ⚫ レスポンス制御（アクセス制御） 処 理 の 流 れ

58. © 2024 Database Technology Inc. All Rights Reserved. 58 7-1.

    アクセス制御について

59. © 2024 Database Technology Inc. All Rights Reserved. 59 7-1：アクセス制御について

    ⚫ アクセス制御 ⚫ 条件に一致するトラフィックを制御 ⚫ 制御の方法 A) リクエスト制御 B) レスポンス制御

60. © 2024 Database Technology Inc. All Rights Reserved. 60 7-1-A：リクエスト制御について

    ⚫ リクエスト制御 ⚫ アクセスルールを作成して、 HTTPリクエストを制御 ⚫ アクセスルール ⚫ 条件に一致するトラフィックを制御 ⚫ 様々な属性が使用可能で、複数の条件からなるアクセスルールも作成可能 ⚫ アクセスルールとしてJMESPath言語を使用しており、以下のリンクから確認可能 https://jmespath.org/specification.html ⚫ 制御の種類 ⚫ 許可 ⚫ チェック ⚫ HTTPレスポンスを返却

61. © 2024 Database Technology Inc. All Rights Reserved. 61 7-1-A：アクセスルールについて1

    評価基準 内容 備考 ・Path ・Host ・is（次の通り） ・is not（次の通りではない） ・starts with（次で始まる） ・does not start with（次で始まらない） ・ends with（次で終わる） ・does not end with（次で終わらない） ・contains（次を含む） ・does not contain（次を含まない） ・リクエストヘッダ ・リクエストcookies ・問い合わせ接頭辞 ・exists（次が存在する） ・does not exist（次が存在しない） ・contains（次を含む） ・does not contain（次を含まない） リクエスト制御

62. © 2024 Database Technology Inc. All Rights Reserved. 62 7-1-A：アクセスルールについて2

    評価基準 内容 備考 ・国／リージョン ・リクエストメソッド ・in list（次のリストの通り） ・not in list（次のリストの通りではな い） ・国／リージョンでは、APIの場合は2文字 の国コードを使用します。 ・使用可能なHTTPメソッドは、GET、 POST、PUT、DELETE、HEAD、 CONNECT、OPTIONS、TRACE、PATCH、 PROPFINDです。 ・ソースIPアドレス ・in list（次のリストの通り） ・not in list（次のリストの通りではな い） ・in network address List（アドレスリス トにある） ・not in network Address List（アドレス リストにない） ・IPv4、CIDR、IPv6をサポートしていま す。 リクエスト制御

63. © 2024 Database Technology Inc. All Rights Reserved. 63 7-1-B：レスポンス制御について

    ⚫ レスポンス制御 ⚫ アクセスルールを作成して、 HTTPレスポンスを制御 ⚫ アクセスルール ⚫ 条件に一致するトラフィックを制御 ⚫ 様々な属性が使用可能で、複数の条件からなるアクセスルールも作成可能 ⚫ アクセスルールとしてJMESPath言語を使用しており、以下のリンクから確認可能 https://jmespath.org/specification.html ⚫ 制御の種類 ⚫ 許可 ⚫ チェック ⚫ HTTPレスポンスを返却

64. © 2024 Database Technology Inc. All Rights Reserved. 64 7-1-B：アクセスルールについて1

    評価基準 内容 備考 ・Host ・is（次の通り） ・is not（次の通りではない） ・starts with（次で始まる） ・does not start with（次で始まらない） ・ends with（次で終わる） ・does not end with（次で終わらない） ・contains（次を含む） ・does not contain（次を含まない） レスポンス制御

65. © 2024 Database Technology Inc. All Rights Reserved. 65 7-1-B：アクセスルールについて2

    評価基準 内容 備考 ・レスポンスコード ・is（次の通り） ・is not（次の通りではない） ・レスポンスヘッダ ・exists（次が存在する） ・does not exist（次が存在しない） ・contains（次を含む） ・does not contain（次を含まない） レスポンス制御

66. © 2024 Database Technology Inc. All Rights Reserved. 66 7-2.

    レート制限について

67. © 2024 Database Technology Inc. All Rights Reserved. 67 7-2：レート制限について

    ⚫ レート制限 ⚫ 同一IPからのリクエスト制限を設けて制御 ⚫ レイヤー7のDDoS攻撃やブルートフォース攻撃に対して、有効的（レイヤー3／4の DDoS攻撃への防御は、OCIレベルで提供されている） ⚫ オプションで、前のページにて表記したリクエスト制御のアクセスルールの条件と組 み合わせる事も可能（IPアドレスや国／リージョンなど） ⚫ 制御の種類 ⚫ チェック ⚫ HTTPレスポンスを返却

68. © 2024 Database Technology Inc. All Rights Reserved. 68 7-3.

    保護について

69. © 2024 Database Technology Inc. All Rights Reserved. 69 7-3：保護について

    ⚫ 保護 ⚫ ルールに一致するトラフィックを制御 ⚫ 制御の方法 A) 保護ルール B) リクエスト保護ルール

70. © 2024 Database Technology Inc. All Rights Reserved. 70 7-3-A：保護ルールについて

    ⚫ 保護ルール ⚫ 保護ルールに一致するトラフィックを制御 ⚫ 約490の保護ルールがあり、以下のリンクから確認可能 https://docs.oracle.com/ja- jp/iaas/Content/WAF/Protections/protections_management.htm#ProtectionRulesWAF ⚫ 有効化できる保護ルールは最大で300個まで ⚫ 制御の種類 ⚫ チェック ⚫ HTTPレスポンスを返却 ⚫ 除外（条件に合う場合は、例外的に保護ルールの制御から除外される）

71. © 2024 Database Technology Inc. All Rights Reserved. 71 7-3-A：保護設定について

    特定の保護ルールは、 固有で設定されている 有効化できる保護ルール の上限に含まれない

72. © 2024 Database Technology Inc. All Rights Reserved. 72 7-3-B：リクエスト保護ルールについて

    ⚫ リクエスト保護ルール ⚫ 悪意のあるコンテンツがHTTPリクエストにあるかをチェックし、トラフィックを制御 ⚫ HTTPリクエストの本文の中で、検査する量の範囲を設定（0～8192バイト） ⚫ オプションで、前のページにて表記したリクエスト制御のアクセスルールの条件と組 み合わせる事も可能（IPアドレスや国／リージョンなど） ⚫ 制御の種類 ⚫ 本文の一部を検査して続行（指定されたサイズ制限まで検査し、制限を超えた場合は それ以上の制御を実行しない） ⚫ HTTPレスポンスを返却（指定された制限サイズを超えた場合は、ブロック）

73. © 2024 Database Technology Inc. All Rights Reserved. 73 8.

    まとめ

74. © 2024 Database Technology Inc. All Rights Reserved. 74 8：まとめ

    ⚫ OCI WAFは多層的な防御により、アプリケーションの保護が可能 ⚫ 毎月の無料枠があるので、気軽に利用可能 ⚫ エッジポリシーとWAFポリシーには様々な違いがある ⚫ エッジポリシーは防御方法は豊富だが、設定が複雑 ⚫ WAFポリシーは防御方法はシンプルだが、設定が簡単 目的に合わせたOCI WAFポリシーの利用を！

75. © 2024 Database Technology Inc. All Rights Reserved. 75 お問い合わせ

    OCIに関するお困りごとは，ぜひ弊社までご相談ください。 お電話でのお問い合わせ 075-231-6131 受付時間：平日 10:00～17:00 メールでのお問い合わせ [email protected] ※お手数ですが、御社名、ご氏名、 お問い合わせ内容を本文中にご記載ください。 https://www.db-tec.com/ 弊社ホームページからも、お問い合わせを承っております。 Oracleは、オラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。