Oracle Cloud Infrastructure WAFは、インターネットに直接接続しているWebアプリケーションまたはHTTPベースのAPIへの適用を検討してください。

責任	オラクル	お客様
Webアプリケーションに対するWAFポリシーのオンボーディング／構成	なし	あり
WAFオンボーディングの依存関係（DNS、イングレス・ルール、ネットワーク）の構成	なし	あり
WAFへの高可用性（HA）の提供	あり	なし
分散型サービス妨害（DDoS）攻撃の監視	あり	なし
WAFインフラストラクチャへのパッチ適用および最新状態の維持	あり	なし
データプレーン・ログでの異常かつ望ましくない動作の監視	あり	あり
新たな脆弱性と攻撃対策に基づいた新しいルールの構築	あり	なし
新たな推奨ルールの確認および適用	なし	あり
トラフィックに対するWAFのアクセス・ルールとボット管理方法の調整	なし	あり

Oracle Cloud Infrastructure WAFでは、WebアプリケーションまたはAPIへの悪意のあるリクエストを除外できます。また、トラフィックの送信元に関する可視性が高まり、レイヤ7のDDoS攻撃が阻止されることで、可用性が向上します。

ボット管理ソリューションは、IPレート制限、CAPTCHA、デバイス・フィンガープリント、ヒューマン・インタラクション・チャレンジなどの検出技術を使用して、悪意のあるボット・アクティビティや疑わしいボット・アクティビティを特定し、競合データのWebサイトをスクレイピングからブロックします。同時に、WAFではGoogle、Facebookなどからの正当なボット・トラフィックが、意図どおりに継続してWebアプリケーションにアクセスすることを許可できます。

Oracle Cloud Infrastructure WAFでは、最適なグローバル・ポイント・オブ・プレゼンス（POP）を決定するインテリジェントなDNSデータ駆動型アルゴリズムを採用しており、特定のユーザーにリアルタイムでサービスを提供します。その結果、ユーザーは、可能な限り最高のアップタイムとサービス・レベルを実現しながら、グローバル・ネットワークの問題と潜在的な遅延を回避できます。

• アーキテクチャのデプロイメントと送信元のロック・ダウン：ポート80および443へのトラフィックに制限することで、他のすべての接続がドロップされます。
• DNSを介した動的なトラフィック・ルーティング：DNSベースのトラフィック・ルーティング・アルゴリズムを活用して、数千ものグローバル・ロケーションからユーザーの待ち時間を考慮し、最も待ち時間の短いルートを決定します。
• 高可用性：Webアプリケーション配信を構成する場合、Oracle Cloud Infrastructure WAFには、複数の送信元サーバーを追加できる高可用性構成オプションが複数用意されています。これらの設定やサーバーは、プライマリ送信元サーバーがオフラインであるか、正常性チェックに正しく応答しない場合にのみ使用されます。
• ポリシーの管理：Oracle Cloud Infrastructure WAF構成内の特長や機能を構成および管理します。
• 監視とレポート：この機能により、ユーザーはコンテンツ・ライブラリに関連するレポートにアクセスできます。
• サポート：サポート・チームに問題を通知し、緊急度（sev1、2、3）に応じてチケットをエスカレーションします。

Oracle Cloud Infrastructure WAFは、Universal Credit Model登録者が利用できます。Universal Credit Model登録者は、「エッジ・サービス」タブの下にあるOracle Cloud Infrastructureコンソールを通じて、Oracle Cloud Infrastructure WAFにアクセスできます。ドキュメントには、導入に最適なスタート・ガイドが含まれています。

Oracle Cloud Infrastructure WAFは、Universal Credits Modelを利用し、次のメトリックに基づいてクレジットが消費されます。

• リクエスト数（ボット管理を有効にする場合、価格は高くなります）
• WAFから出力されるデータ／トラフィック量
• Oracle Cloud Infrastructure以外のエンドポイントの数（月次）

はい。Oracle Cloud Infrastructure WAFは、Universal Credit Model登録者が利用できます。お客様は、Oracle Cloud Infrastructure WAFのみを活用し、OCI以外のワークロードを保護することもできます。Oracle Cloud Infrastructureコンソールを活用する際、オブジェクト・ストレージにはわずかな依存関係があり、請求に表示されます。

はい。Oracle Cloud Infrastructure WAFはAPIを最優先に設計されているため、コンソールの機能はすべてAPIで利用できます。

2019年2月現在では利用できませんが、APIでのみ実行できる管理機能も複数存在します。APIのみの機能には、次のようなものがあります。

• 脅威インテリジェンス
• 保護ルールの除外
• IPレート制限
• アクセス・ルールの並べ替え
• 証明書の管理（単一の証明書／キーのアップロード以上の操作）
• デバイス・フィンガープリントおよびヒューマン・インタラクション・チャレンジ
• レポート作成とテレメトリ（Oracle Cloud Infrastructureパブリック・テレメトリが利用できない場合を想定）

今後、上記アイテムについてもコンソールに追加し、これらの機能を管理するためのAPI、SDK、Terraformの例を公開する予定です。

推奨されるアプローチは、APIを使用してSIEMにWAFログを取り込む方法です。現在、SIEMプロバイダ向けの構築済みのプラグインは提供されていません。

Oracle Cloud Infrastructure WAFは、あらゆる市販リージョンから構成できるグローバル・サービスです。ただし、データは当該リージョンに限定されません。あらゆるOracle Cloud Infrastructure WAF構成は、グローバルな「エッジ」に追加されます。

Oracleには現在、合計22のエッジ・ノードがあり、次のグローバル拠点*があります。

• バンクーバー
• シアトル
• ロサンゼルス
• トロント
• シカゴ
• ダラス
• アッシュバーン
• マイアミ
• サンパウロ
• ダブリン
• ロンドン
• フランクフルト
• アムステルダム
• シンガポール
• 香港
• 東京
• シドニー

*一部の地域には複数のPoPがあることに注意してください。

はい。Oracle Cloud Infrastructureは、Webアプリケーションおよびサービスに対して無制限のDDoS保護機能を提供しています。

DDoS保護機能は、Oracle Cloud Infrastructureエッジ・ネットワークで提供され、幅広いエッジ・アプリケーションをサポートするために、グローバルに分散された大容量のポイント・オブ・プレゼンス（PoP）で構成されています。Oracle Edge PoPは、Oracle Cloud Infrastructureのリージョンや世界中のスタンドアロンの場所に存在します。具体的には、L7 DDoS攻撃はOracle Web Application Firewall（WAF）によって管理され、L7 DDoS脅威を阻止できるように設計されたアクセス制御機能とボット管理機能の完全なセットが含まれています。Oracle WAFは、各PoPでのほとんどのDDoS攻撃から保護できるように設計されています。オラクルは大量のL7 DDoS攻撃が発生した場合、迅速な応答時間を確保するためにグローバルに分散されたDDoSスクラビング・センターを使用します。

このサービスは、Oracle Cloud Infrastructureコンソールから利用できます。お客様は、コンソールのWAFのボット管理メニューからL7 DDoS保護機能を選択します。お客様は次の2つのオプションのいずれかを選択できます。

1.オンデマンド：L7 DDoS保護機能をお客様の判断で有効化します。

2.常に有効：L7 DDoS保護機能は常に有効で、自動的に保護機能が動作します。

L7 DDoS攻撃対策機能はOracle Cloud Infrastructure WAFの一部であり、ユーザーは、高度なL7 DDoS攻撃を阻止できるように設計された幅広いポリシー・オプションから選択して、機能をアクティブにします。ポリシー・オプションには、JavaScript攻撃、IPレート制限、デバイス・フィンガープリント、およびヒューマン・インタラクション・チャレンジなどが含まれています。「常に有効」オプションを選択すると、これらの攻撃対策が完全に自動的に動作します。「オンデマンド」オプションを選択し、L7 DDoS保護機能をユーザーの判断で手動で有効化することもできます。

L7 DDoS攻撃対策機能は、Oracle Cloud Infrastructure WAFの一部です。WAFは、トラフィックおよびリクエスト量に基づく従量制のサブスクリプションです。詳細については、オラクルの価格ページをご覧ください。

トラフィックは、リバース・プロキシ・アーキテクチャを介してOracle Cloud Infrastructureエッジ・ネットワークに自動的にルーティングされます。エッジ・ネットワークには、Webアプリケーションに到達する前にすべてのHTTPおよびHTTPSトラフィックを検査する、グローバルに分散されたPoPが存在します。PoPは、有効化されたDDoS対策を使用して、悪意のあるボットネットからのトラフィックとして識別されたトラフィックを自動的に排除します。

Oracle Cloud Infrastructureポータルには、アラート、ブロック・リクエスト、ボット攻撃対策、およびログに関するほぼリアルタイムのレポート作成機能を搭載したコンソールが用意されています。

次のCIDR範囲からの接続のみを受け入れるように、送信元のイングレス・ルールを構成します。

130.35.0.0/20

130.35.112.0/22

130.35.120.0/21

130.35.128.0/20

130.35.144.0/20

130.35.16.0/20

130.35.176.0/20

130.35.192.0/19

130.35.224.0/22

130.35.232.0/21

130.35.240.0/20

130.35.48.0/20

130.35.64.0/19

130.35.96.0/20

138.1.0.0/20

138.1.104.0/22

138.1.128.0/19

138.1.16.0/20

138.1.160.0/19

138.1.192.0/20

138.1.208.0/20

138.1.224.0/19

138.1.32.0/21

138.1.40.0/21

138.1.48.0/21

138.1.64.0/20

138.1.80.0/20

138.1.96.0/21

147.154.0.0/18

147.154.128.0/18

147.154.192.0/20

147.154.208.0/21

147.154.224.0/19

147.154.64.0/20

147.154.80.0/21

147.154.96.0/19

192.157.18.0/23

192.29.0.0/20

192.29.128.0/21

192.29.144.0/21

192.29.16.0/21

192.29.32.0/21

192.29.48.0/21

192.29.56.0/21

192.29.64.0/20

192.29.96.0/20

192.69.118.0/23

198.181.48.0/21

199.195.6.0/23

205.147.88.0/21

はい。ただし、これはセルフサービスのオプションではありません。My Oracle Supportでサポート・チケットを提出することで、CAPTCHAページの更新をリクエストできます。すべてのJavaScriptを外部ファイルではなく、インラインに含めたHTMLである必要があります。

Oracle Cloud Infrastructure WAFはCRS 3.0をサポートしています。

API、CLI、SDK、またはTerraformを使用して、この機能を実行するスクリプトを作成することをお勧めします。