Oracle Cloud Infrastructure Web Application Firewall(WAF)は、悪意のある不要なインターネット・トラフィックからアプリケーションを保護する、クラウドベースかつPCI準拠のグローバル・セキュリティ・サービスです。Oracle Cloud Infrastructure WAFは、インターネットに直接接続しているあらゆるエンドポイントを保護し、お客様のアプリケーション全体に一貫したルールの適用を可能にします。
Oracle Cloud Infrastructure WAFを使用すると、クロスサイト・スクリプティング(XSS)、SQLインジェクション、その他のOWASP定義の脆弱性など、インターネットの脅威を回避するルールを作成および管理できます。望ましいボットからのアクセスを許可しながら、不要なボットの攻撃を阻止することができます。ルールを使用し、地理的条件または着信要求のシグネチャに基づいてアクセスを制限することもできます。
オラクルの24時間365日活動するグローバル・セキュリティ・オペレーション・センター(SOC)は、インターネットの脅威の状況を継続的に監視し、ITセキュリティ・チームの手足としての役割を果たします。
Oracle Cloud Infrastructure WAFは、インターネットに直接接続しているWebアプリケーションまたはHTTPベースのAPIへの適用を検討してください。
| 責任 | オラクル | お客様 |
|---|---|---|
| Webアプリケーションに対するWAFポリシーのオンボーディング/構成 | なし | あり |
| WAFオンボーディングの依存関係(DNS、イングレス・ルール、ネットワーク)の構成 | なし | あり |
| WAFへの高可用性(HA)の提供 | あり | なし |
| 分散型サービス妨害(DDoS)攻撃の監視 | あり | なし |
| WAFインフラストラクチャへのパッチ適用および最新状態の維持 | あり | なし |
| データプレーン・ログでの異常かつ望ましくない動作の監視 | あり | あり |
| 新たな脆弱性と攻撃対策に基づいた新しいルールの構築 | あり | なし |
| 新たな推奨ルールの確認および適用 | なし | あり |
| トラフィックに対するWAFのアクセス・ルールとボット管理方法の調整 | なし | あり |
Oracle Cloud Infrastructure WAFでは、WebアプリケーションまたはAPIへの悪意のあるリクエストを除外できます。また、トラフィックの送信元に関する可視性が高まり、レイヤ7のDDoS攻撃が阻止されることで、可用性が向上します。
ボット管理ソリューションは、IPレート制限、CAPTCHA、デバイス・フィンガープリント、ヒューマン・インタラクション・チャレンジなどの検出技術を使用して、悪意のあるボット・アクティビティや疑わしいボット・アクティビティを特定し、競合データのWebサイトをスクレイピングからブロックします。同時に、WAFではGoogle、Facebookなどからの正当なボット・トラフィックが、意図どおりに継続してWebアプリケーションにアクセスすることを許可できます。
Oracle Cloud Infrastructure WAFでは、最適なグローバル・ポイント・オブ・プレゼンス(POP)を決定するインテリジェントなDNSデータ駆動型アルゴリズムを採用しており、特定のユーザーにリアルタイムでサービスを提供します。その結果、ユーザーは、可能な限り最高のアップタイムとサービス・レベルを実現しながら、グローバル・ネットワークの問題と潜在的な遅延を回避できます。
Oracle Cloud Infrastructure WAFは、Universal Credit Model登録者が利用できます。Universal Credit Model登録者は、「エッジ・サービス」タブの下にあるOracle Cloud Infrastructureコンソールを通じて、Oracle Cloud Infrastructure WAFにアクセスできます。資料には、導入に最適なスタート・ガイドが含まれています。
Oracle Cloud Infrastructure WAFは、Universal Credits Modelを利用し、次のメトリックに基づいてクレジットが消費されます。
はい。Oracle Cloud Infrastructure WAFは、Universal Credit Model登録者が利用できます。お客様は、Oracle Cloud Infrastructure WAFのみを活用し、OCI以外のワークロードを保護することもできます。Oracle Cloud Infrastructureコンソールを活用する際、オブジェクト・ストレージにはわずかな依存関係があり、請求に表示されます。
はい。Oracle Cloud Infrastructure WAFはAPIを最優先に設計されているため、コンソールの機能はすべてAPIで利用できます。
2019年2月現在では利用できませんが、APIでのみ実行できる管理機能も複数存在します。APIのみの機能には、次のようなものがあります。
今後、上記アイテムについてもコンソールに追加し、これらの機能を管理するためのAPI、SDK、Terraformの例を公開する予定です。
推奨されるアプローチは、APIを使用してSIEMにWAFログを取り込む方法です。現在、SIEMプロバイダ向けの構築済みのプラグインは提供されていません。
Oracle Cloud Infrastructure WAFは、あらゆる市販リージョンから構成できるグローバル・サービスです。ただし、データは当該リージョンに限定されません。あらゆるOracle Cloud Infrastructure WAF構成は、グローバルな「エッジ」に追加されます。
Oracleには現在、合計22のエッジ・ノードがあり、次のグローバル拠点*があります。
*一部の地域には複数のPoPがあることに注意してください。
はい。Oracle Cloud Infrastructureは、Webアプリケーションおよびサービスに対して無制限のDDoS保護機能を提供しています。
DDoS保護機能は、Oracle Cloud Infrastructureエッジ・ネットワークで提供され、幅広いエッジ・アプリケーションをサポートするために、グローバルに分散された大容量のポイント・オブ・プレゼンス(PoP)で構成されています。Oracle Edge PoPは、Oracle Cloud Infrastructureのリージョンや世界中のスタンドアロンの場所に存在します。具体的には、L7 DDoS攻撃はOracle Web Application Firewall(WAF)によって管理され、L7 DDoS脅威を阻止できるように設計されたアクセス制御機能とボット管理機能の完全なセットが含まれています。Oracle WAFは、各PoPでのほとんどのDDoS攻撃から保護できるように設計されています。オラクルは大量のL7 DDoS攻撃が発生した場合、迅速な応答時間を確保するためにグローバルに分散されたDDoSスクラビング・センターを使用します。
このサービスは、Oracle Cloud Infrastructureコンソールから利用できます。お客様は、コンソールのWAFのボット管理メニューからL7 DDoS保護機能を選択します。お客様は次の2つのオプションのいずれかを選択できます。
1.オンデマンド:L7 DDoS保護機能をお客様の判断で有効化します。
2.常に有効:L7 DDoS保護機能は常に有効で、自動的に保護機能が動作します。
L7 DDoS攻撃対策機能はOracle Cloud Infrastructure WAFの一部であり、ユーザーは、高度なL7 DDoS攻撃を阻止できるように設計された幅広いポリシー・オプションから選択して、機能をアクティブにします。ポリシー・オプションには、JavaScript攻撃、IPレート制限、デバイス・フィンガープリント、およびヒューマン・インタラクション・チャレンジなどが含まれています。「常に有効」オプションを選択すると、これらの攻撃対策が完全に自動的に動作します。「オンデマンド」オプションを選択し、L7 DDoS保護機能をユーザーの判断で手動で有効化することもできます。
L7 DDoS攻撃対策機能は、Oracle Cloud Infrastructure WAFの一部です。WAFは、トラフィックおよびリクエスト量に基づく従量制のサブスクリプションです。詳細については、オラクルの価格ページをご覧ください。
トラフィックは、リバース・プロキシ・アーキテクチャを介してOracle Cloud Infrastructureエッジ・ネットワークに自動的にルーティングされます。エッジ・ネットワークには、Webアプリケーションに到達する前にすべてのHTTPおよびHTTPSトラフィックを検査する、グローバルに分散されたPoPが存在します。PoPは、有効化されたDDoS対策を使用して、悪意のあるボットネットからのトラフィックとして識別されたトラフィックを自動的に排除します。
Oracle Cloud Infrastructureポータルには、アラート、ブロック・リクエスト、ボット攻撃対策、およびログに関するほぼリアルタイムのレポート作成機能を搭載したコンソールが用意されています。
次のCIDR範囲からの接続のみを受け入れるように、送信元のイングレス・ルールを構成します。
134.70.92.0/22
140.91.38.0/23
140.204.20.128/25
192.29.144.0/21
192.29.152.0/22
134.70.88.0/22
140.91.36.0/23
140.204.16.128/25
192.29.56.0/21
192.29.60.0/23
192.29.178.0/25
192.29.180.0/22
134.70.76.0/22
140.91.30.0/23
140.204.4.128/25
192.29.48.0/21
192.29.160.0/21
192.29.168.0/22
192.29.172.0/25
134.70.96.0/22
140.91.40.0/23
140.204.24.128/25
192.29.16.0/20
130.35.112.0/22
130.35.116.0/25
132.145.0.128/25
132.145.2.128/25
132.145.4.128/25
134.70.56.0/21
134.70.64.0/22
138.1.16.0/20
138.1.80.0/20
138.1.208.0/20
138.1.224.0/19
140.91.22.0/23
140.91.24.0/22
147.154.224.0/19
134.70.80.0/22
140.91.32.0/23
140.204.8.128/25
192.29.32.0/21
192.29.40.0/22
192.29.44.0/25
134.70.72.0/22
140.91.28.0/23
140.204.0.128/25
192.29.0.0/20
192.29.64.0/20
138.1.0.0/20
138.1.40.0/21
138.1.64.0/20
138.1.96.0/21
138.1.104.0/22
138.1.160.0/19
138.1.192.0/20
147.154.128.0/18
147.154.192.0/20
147.154.208.0/21
129.213.0.128/25
129.213.2.128/25
129.213.4.128/25
130.35.16.0/20
130.35.48.0/20
130.35.64.0/19
130.35.96.0/20
130.35.120.0/21
130.35.144.0/20
130.35.176.0/20
130.35.192.0/19
130.35.224.0/22
130.35.232.0/21
134.70.24.0/21
134.70.32.0/22
138.1.48.0/21
140.91.10.0/23
140.91.12.0/22
147.154.0.0/18
147.154.64.0/20
147.154.80.0/21
134.70.84.0/22
140.91.34.0/23
140.204.12.128/25
192.29.128.0/21
192.29.138.0/23
129.146.12.128/25
129.146.13.128/25
129.146.14.128/25
130.35.0.0/20
130.35.128.0/20
130.35.240.0/20
134.70.8.0/21
134.70.16.0/22
138.1.32.0/21
138.1.128.0/19
140.91.4.0/22
140.91.8.0/23
147.154.96.0/19
192.29.96.0/20
199.195.6.0/23
198.181.48.0/21
192.69.118.0/23
205.147.88.0/21
192.157.19.0/24
192.157.18.0/24
はい。ただし、これはセルフサービスのオプションではありません。My Oracle Supportでサポート・チケットを提出することで、CAPTCHAページの更新をリクエストできます。すべてのJavaScriptを外部ファイルではなく、インラインに含めたHTMLである必要があります。
Oracle Cloud Infrastructure WAFはCRS 3.0をサポートしています。
API、CLI、SDK、またはTerraformを使用して、この機能を実行するスクリプトを作成することをお勧めします。