Webアプリケーションファイアウォールは、ゼロデイ脆弱性の使用など、Webアプリケーションに対する最新の攻撃を検出およびブロックするように設計されたアプリケーションレベルのセキュリティ画面です。
- SQLインジェクション-SQLインジェクション。
- リモートコード実行(RCE)-リモートコード実行。
- クロスサイトスクリプティング(XSS)-クロスサイトスクリプティング;
- クロスサイトリクエストフォージェリ(CSRF)-クロスサイトリクエストフォージェリ。
- リモートファイルインクルージョン(RFI)-リモートインクルージョン。
- ローカルファイルインクルージョン(LFI)-ローカルインクルージョン。
- 認証バイパス-許可のバイパス。
- 安全でない直接オブジェクト参照-オブジェクトへの安全でない直接リンク。
- Bruteforce-パスワード選択。
WAFの主な目的は、重大な脆弱性が存在する場合でも、不正なアクセスからWebアプリケーションを保護することです。
今日、Webアプリケーションの処理で処理される情報の高コストは、ハッキングの脅威とともに、企業の情報セキュリティのリスクを高めています。 これらの条件下では、論理的な疑問が生じます。Webアプリケーションを保護するために何をすべきか? 対策は、アプリケーションのライフサイクルの2つの段階(開発と運用)で実装できます。 開発段階では、静的、動的、インタラクティブな分析など、さまざまなセキュリティテストツールが用意されています。 既に実行中のアプリケーションのセキュリティについて説明する場合は、侵入防止システム、次世代ファイアウォール(次世代ファイアウォール、NGFWの略)、およびWebアプリケーション専用のアプリケーションレベルのトラフィックフィルタリングツール(Webアプリケーション)を使用することをお勧めします。ファイアウォール、略して-WAF)。 アプリケーションWebアプリケーションファイアウォールは、従来、Webリソースを保護する最も効果的なアプローチと考えられています。 ここでの基本的な要因の1つは、高度に専門化された開発です。
最新のWebアプリケーションファイアウォールの一般的な要件:
- WAFシステムコンポーネントは、PCI DSS要件を満たしている必要があります。
- OWASPトップ10で説明されている脅威に対応する機能。
- セキュリティポリシー、イベントログに基づいた要求と応答の検査。 データ漏洩防止-重要なデータのサーバー応答の検査。
- ポジティブおよびネガティブ両方のセキュリティモデルの適用。 HTML、DHTML、CSSを含むWebページ上のすべてのコンテンツ、および基礎となるコンテンツ配信プロトコル(HTTP / HTTPS)を検査します。
- Webサービスがインターネットに接続されている場合のWebサービスメッセージの検査(SOAP、XML)。
- プロプライエタリであるか標準化されているか(着信データストリームと発信データストリームの両方)に関係なく、Webアプリケーションからデータを転送するために使用されるプロトコルまたはデータ設計の検査。
- WAFを直接狙った脅威に対する保護。
- 接続のSSL \ TLS終了のサポート。
- 偽のセッションIDの防止または検出
- 攻撃シグネチャの更新を自動的にダウンロードして適用します。
- フェールオープンおよびフェールクローズモードを設定する機能。
- クライアントSSL証明書のデバイスサポート
- ハードウェアキーストレージサポート(FIPS)。