WAFエッジポリシー設定手順書

WAFエッジポリシーの設定手順と動作確認 Ver.2.2 2022年12月14日テクノロジー事業戦略統括テクノロジー・クラウド・エンジニアリング本部セキュリティ＆マネジメントソリューション部

• WAFとは • 設定手順 • 実際にアプリを攻撃してみる • Appendix Agenda Copyright
© 2021, Oracle and/or its affiliates 2

巧妙化するサイバー攻撃からWebアプリケーションを保護 OCI Web Application Firewallの概要 Copyright © 2022, Oracle and/or
its affiliates. 4 サービス概要/特徴 • OCI WAFは、世界中にあるデータセンターのリソースを同時に利用できるエッジポイントのWAFとリージョン内のロードバランサにアタッチするWAFの2つのタイプを用意 • クロスサイト・スクリプティング、SQLインジェクションなどの不正アクセスの脅威からWebアプリケーションを保護 • 600を超える保護ルールのチェックボックスをつけるだけで有効化 • 最新の脅威情報データベースを反映し保護ルールを自動更新 • L7 DDoS攻撃への保護（※L2/3 DDoSは、OCIの標準機能）ユース・ケース • グローバルWAFを一定期間学習させ、検出される推奨アクションを利用し、検知またはブロックの必要な保護ポリシーを選別して適用 • WAFと連携している脅威インテリジェンスからの通知を基にフィッシングサイトやダークネットのノードからのアクセスを無条件でブロック • 検出したアクセスログをOCI Logging Analyticsで分析し、アクセス元やサイバー攻撃の傾向を把握し、効果的なセキュリティ対策を実施 Bad Bots Hackers Good Visitors Good Bots Spammers WAF サービス価格 • Instance： ¥0/ 1インスタンス • Instance： ¥700/ 2インスタンス以降 • Requests： ¥0 / 1000万リクエスト迄 • Requests： ¥84 / 1000万リクエスト超で100万リクエスト毎

エッジポリシーエッジポイントのWAFについて Copyright © 2022, Oracle and/or its affiliates. 5
PHOENIX CHICAGO TORONTO ASHBURN SAO PAULO LONDON FRANKURT ZURICH MUMBAI SYDNEY SEOUL TOKYO OSAKA ✓ 18以上のリージョン ✓ 自動化されたグローバルエッジ保護 ✓ 24時間365日の監視 ✓ インターネットおよびクラウドインテリジェンス Commercial Government Planned Commercial Planned Government Edge Points of Presence

エッジポリシーエッジポイントのWAFについて Copyright © 2022, Oracle and/or its affiliates. 6
DNS WAF （xxx.waas.oci.oraclecloud.net） Webサーバ（オリジンサーバ）顧客 DC / Cloud Edge PoP ✔ ✖ 1. Web サーバにアクセスするため、 DNS サーバに「www.example.com」の名前解決を問い合わせ。 2. 「www.example.com」の別名として定義したWAFのエンドポイント「xxx.waas.oci.oraclecloud.net（例）」を応答。 3. 「xxx.waas.oci.oraclecloud.net（例）」にアクセス。 OCI WAFでトラフィック分析し、不正なトフィックを防御。 4. 正常なトラフィックのみオリジンサーバへ転送 Welcomed Users / Good Bots Bad Actors / Bad Bots

OCI WAFの責任共有モデル Copyright © 2022, Oracle and/or its affiliates 7
Oracle •新しい脆弱性に基づく新保護ルールの作成 •WAFインフラストラクチャのパッチと更新 •分散型サービス(DDoS)攻撃のモニタリング •WAFの高可用性(HA)の提供お客様 •WAF関連の設定・構築(DNS, イングレスルール, ネットワーク) •保護対象のWebアプリケーションへのWAFポリシーの設定 •保護ルール推奨事項の確認と受け入れ(オフ/検知/ブロック) •WAFアクセス制御とBot管理ルールの設定異常/望まれない挙動のログのモニタリング

設定手順例について今回はWAFの動作を確認するための設定手順の一例を紹介します。実際のDNS設定等についてはネットワークやセキュリティ要件、ホスティングの関係から様々なパターンが考えられますが、本資料では便宜的に、以下の構成で動作を確認します。 • Webサーバー(Apache)を自分で立ち上げ • DNSはフリーサービス(freenom)で独自ドメインを取得 • WAFはOCI
のエッジサービスで提供されているWAFを使用なおWebサーバーの立ち上げ手順は本資料では省略いたします。また、実際のお客様での設定の場合はお客様のドメインを使用しますので、自ドメインの取得は省略されます。本資料はOCI WAFの動作確認、OCI WAFの学習にお役立てください。 9 Copyright © 2022, Oracle and/or its affiliates

設定手順概要 Copyright © 2022, Oracle and/or its affiliates 10 1.DNSの設定
※Webサーバを事前にインストール・起動 2.ネットワークの設定 3.WAFの設定 a.ドメインの取得 b.IPアドレスをAレコードとして登録 ※ドメインの動作確認用 a.WAFサーバのCIDR をホワイトリストとして登録する a.WAFポリシーの作成 b.SSL証明書の設定（オプション）※ c.CNAMEの登録 ※WebアプリケーションがHTTPSで構成される場合、SSL証明書をWAFに登録することでHTTPS通信を処理することが可能です。 d.保護ルールの作成

1. DNSの設定 a. ドメインの取得 Copyright © 2022, Oracle and/or its
affiliates 11 無料ドメインサービスにアクセスし、使用したいドメインを取得します。例）freenomでは、.tk, .ml, .ga, .cf, .ggのドメインを無料で取得できます。 https://www.freenom.com/ja/index.html?lang=ja

affiliates 12 取得したいドメインが利用可能なことを確認し、チェックアウトをクリックします。

affiliates 13 Continueをクリックします。

affiliates 14 メールアドレスを入力し、チェックアウトをクリックします。 ※以下登録手順は省略

1. DNSの設定 b. IPアドレスをAレコードとして登録※ドメインの動作確認用 Copyright © 2022, Oracle and/or its
affiliates 15 Freenomにアクセスし、Services → My Domainsをクリックします。

1. DNSの設定 b. IPアドレスをAレコードとして登録（ドメインの動作確認用） Copyright © 2022, Oracle and/or its
affiliates 16 取得したドメインのManage Domainをクリックします。

affiliates 17 Manage Freenom DNSをクリックします。

affiliates 18 Name, Targetを入力し、「Save Changes」ボタンをクリックします。 • Name：my • Type：A • Target：WebサーバのIPアドレス ※変更内容の反映まで5分程かかります。

affiliates 19 Aレコードを登録したドメインで、アプリケーションにアクセスできることを確認します。アクセスするURI：<Aレコードで登録したName>.<取得したドメイン>

2.ネットワークの設定 a. WAFサーバのCIDRをホワイトリストとして登録する Copyright © 2022, Oracle and/or its affiliates
20 WAFサーバからのリクエストをWebサーバが受け付けられるように、WAFサーバのCIDRをホワイトリストとして登録します。例）OCIのVCNの場合、WebサーバのコンピュートインスタンスがあるSubnetのセキュリティリストにて、以下CIDRを登録します。 CIDR一覧は以下ドキュメントに記載があります。 https://docs.oracle.com/ja-jp/iaas/Content/WAF/Concepts/gettingstarted.htm#secure •129.146.12.128/25 •129.146.13.128/25 •129.146.14.128/25 •129.148.156.0/22 •129.213.0.128/25 •129.213.2.128/25 •129.213.4.128/25 •130.35.0.0/20 •130.35.112.0/22 •130.35.116.0/25 •130.35.120.0/21 •130.35.128.0/20 •130.35.144.0/20 •130.35.16.0/20 •130.35.176.0/20 •130.35.192.0/19 •130.35.224.0/22 •130.35.232.0/21 •130.35.240.0/20 •130.35.48.0/20 •130.35.64.0/19 •130.35.96.0/20 •130.35.228.0/22 •132.145.0.128/25 •132.145.2.128/25 •132.145.4.128/25 •134.70.16.0/22 •134.70.24.0/21 •134.70.32.0/22 •134.70.56.0/21 •134.70.64.0/22 •134.70.72.0/22 •134.70.76.0/22 •134.70.8.0/21 •134.70.80.0/22 …..計108個（2022年5月時点）

3.WAFの設定 a. WAFポリシーの作成 Copyright © 2022, Oracle and/or its affiliates
21 1. OCIコンソール → アイデンティティとセキュリティ → Web アプリケーション・ファイアウォール→ ポリシー→ ポリシーの作成をクリックします。 2. 「非OCI Webアプリケーションを保護する必要がある場合は、ここでレガシー・ワークフローを使用します。」の青文字の “ここ”をクリックします。

22 エッジ・ポリシーの作成画面にて、以下情報を入力し、「エッジ・ポリシーの作成」ボタンをクリックします。 • 名前：任意 • プライマリ・ドメイン：WAFで保護したいドメイン • オリジン名：任意 • URI：WebサーバのIPアドレス

23 OCIコンソール → アイデンティティとセキュリティ → Web アプリケーション・ファイアウォール→ ポリシー→作成したポリシーをクリックします。ポリシーがアクティブになると、CNAMEが自動生成されます。次の手順でCNAMEをDNSに登録するため、CNAME をメモします。

b. SSL証明書の設定（オプション） WebアプリケーションがHTTPSで構成される場合、以下の手順でWAFのHTTPS通信の処理を有効化することができます。 1. WAFポリシーの詳細画面→「設定」→「編集」ボタンをクリック 2. 設定の編集画面から「HTTPSサポートの有効化」に✓
を入れる 3. 「設定の編集」画面にてSSL証明書と、秘密キーを登録する ※WAFエッジポリシーでサポートされている暗号スイートは以下サイトの「証明書」→「サポートされるSSL暗号スイート」をご参照ください。 https://docs.oracle.com/ja- jp/iaas/Content/WAF/Concepts/faq_topic.htm 3.WAFの設定 Copyright © 2022, Oracle and/or its affiliates 24

28 Shellshock exploit attempt を保護ルールから選択し、ブロックをクリックします。 ※画面左側の「フィルタ」から、ルールIDによる保護ルールの検索が可能です。保護ルールID：1000000から検索してください。 ※Shellshock exploit attemptはシェルからの攻撃を指します。

29 続いて、保護ルールの“設定”のタブを開きます。

30 「ルール設定の編集」をクリックします。

31 「ルール設定の編集」画面にて、ブロック・アクションを「エラー・ページを表示」に変更し、画面下部の「変更の保存」ボタンをクリックします。

32 画面最上部に表示されるバナーの「すべて公開」をクリックし、WAFポリシーの変更内容を公開します。 ※20~30分ほどで、変更内容が公開されます。

WAFエッジポリシー設定手順書

WAFエッジポリシー設定手順書

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript