Oracle Cloud Infrastructure Web Application Firewall(WAF)は、悪意のある不要なインターネット・トラフィックからアプリケーションを保護する、クラウドベースかつPCI準拠のグローバル・セキュリティ・サービスです。Oracle Cloud Infrastructure WAFは、インターネットに直接接続しているあらゆるエンドポイントを保護し、お客様のアプリケーション全体に一貫したルールの適用を可能にします。
Oracle Cloud Infrastructure WAFを使用すると、クロスサイト・スクリプティング(XSS)、SQLインジェクション、その他のOWASP定義の脆弱性など、インターネットの脅威を回避するルールを作成および管理できます。望ましいボットからのアクセスを許可しながら、不要なボットの攻撃を阻止することができます。ルールを使用し、地理的条件または着信要求のシグネチャに基づいてアクセスを制限することもできます。
オラクルの24時間365日活動するグローバル・セキュリティ・オペレーション・センター(SOC)は、インターネットの脅威の状況を継続的に監視し、ITセキュリティ・チームの手足としての役割を果たします。
Oracle Cloud Infrastructure WAFは、インターネットに直接接続しているWebアプリケーションまたはHTTPベースのAPIへの適用を検討してください。
| 責任 | オラクル | お客様 |
|---|---|---|
| Webアプリケーションに対するWAFポリシーのオンボーディング/構成 | 非対応 | 対応 |
| WAFオンボーディングの依存関係(DNS、イングレス・ルール、ネットワーク)の構成 | 非対応 | 対応 |
| WAFへの高可用性(HA)の提供 | 対応 | 非対応 |
| 分散型サービス妨害(DDoS)攻撃の監視 | 対応 | 非対応 |
| WAFインフラストラクチャへのパッチ適用および最新状態の維持 | 対応 | 非対応 |
| データプレーン・ログでの異常かつ望ましくない動作の監視 | 対応 | 対応 |
| 新たな脆弱性と攻撃対策に基づいた新しいルールの構築 | 対応 | 非対応 |
| 新たな推奨ルールの確認および適用 | 非対応 | 対応 |
| トラフィックに対するWAFのアクセス・ルールとボット管理方法の調整 | 非対応 | 対応 |
Oracle Cloud Infrastructure WAFでは、WebアプリケーションまたはAPIへの悪意のあるリクエストを除外できます。また、トラフィックの送信元に関する可視性が高まり、レイヤ7のDDoS攻撃が阻止されることで、可用性が向上します。
ボット管理ソリューションは、IPレート制限、CAPTCHA、デバイス・フィンガープリント、ヒューマン・インタラクション・チャレンジなどの検出技術を使用して、悪意のあるボット・アクティビティや疑わしいボット・アクティビティを特定し、競合データのWebサイトをスクレイピングからブロックします。同時に、WAFではGoogle、Facebookなどからの正当なボット・トラフィックが、意図どおりに継続してWebアプリケーションにアクセスすることを許可できます。
Oracle Cloud Infrastructure WAFでは、最適なグローバル・ポイント・オブ・プレゼンス(POP)を決定するインテリジェントなDNSデータ駆動型アルゴリズムを採用しており、特定のユーザーにリアルタイムでサービスを提供します。その結果、ユーザーは、可能な限り最高のアップタイムとサービス・レベルを実現しながら、グローバル・ネットワークの問題と潜在的な遅延を回避できます。
Oracle Cloud Infrastructure WAFは、Universal Credits Modelを利用し、次のメトリックに基づいてクレジットが消費されます。
その答えは「はい」です。Oracle Cloud Infrastructure WAFは、Universal Credit Model登録者が利用できます。お客様は、Oracle Cloud Infrastructure WAFのみを活用し、OCI以外のワークロードを保護することもできます。Oracle Cloud Infrastructureコンソールを活用する際、オブジェクト・ストレージにはわずかな依存関係があり、請求に表示されます。
その答えは「はい」です。Oracle Cloud Infrastructure WAFはAPIを最優先に設計されているため、コンソールの機能はすべてAPIで利用できます。
2021年3月時点ではありません。APIでのみ実行できる管理機能も複数存在します。APIのみの機能には、次のようなものがあります。
今後、上記アイテムについてもコンソールに追加し、これらの機能を管理するためのAPI、SDK、Terraformの例を公開する予定です。
推奨されるアプローチは、APIを使用してSIEMにWAFログを取り込む方法です。現在、SIEMプロバイダ向けの構築済みのプラグインは提供されていません。
Oracle Cloud Infrastructure WAFは、あらゆる市販リージョンから構成できるグローバル・サービスです。ただし、データは当該リージョンに限定されません。あらゆるOracle Cloud Infrastructure WAF構成は、グローバルな「エッジ」に追加されます。
Oracleには現在、合計11のエッジ・ノードがあり、次のグローバル拠点*があります。
*一部の地域には複数のPoPがあることに注意してください。
その答えは「はい」です。Oracle Cloud Infrastructureは、Webアプリケーションおよびサービスに対して無制限のDDoS保護機能を提供しています。
DDoS保護機能は、Oracle Cloud Infrastructureエッジ・ネットワークで提供され、幅広いエッジ・アプリケーションをサポートするために、グローバルに分散された大容量のポイント・オブ・プレゼンス(PoP)で構成されています。Oracle Edge PoPは、Oracle Cloud Infrastructureのリージョンや世界中のスタンドアロンの場所に存在します。具体的には、L7 DDoS攻撃はOracle Web Application Firewall(WAF)によって管理され、L7 DDoS脅威を阻止できるように設計されたアクセス制御機能とボット管理機能の完全なセットが含まれています。Oracle WAFは、各PoPでのほとんどのDDoS攻撃から保護できるように設計されています。オラクルは大量のL7 DDoS攻撃が発生した場合、迅速な応答時間を確保するためにグローバルに分散されたDDoSスクラビング・センターを使用します。
このサービスは、Oracle Cloud Infrastructureコンソールから利用できます。お客様は、コンソールのWAFのボット管理メニューからL7 DDoS保護機能を選択します。お客様は次の2つのオプションのいずれかを選択できます。
1. オンデマンド: L7 DDoS保護機能は、お客様の判断で有効にします。
2. Always-on: L7 DDoS保護機能は常に有効で、自動的に保護機能が動作します。
L7 DDoS攻撃対策機能はOracle Cloud Infrastructure WAFの一部であり、ユーザーは、高度なL7 DDoS攻撃を阻止できるように設計された幅広いポリシー・オプションから選択して、機能をアクティブにします。ポリシー・オプションには、JavaScript攻撃、IPレート制限、デバイス・フィンガープリント、およびヒューマン・インタラクション・チャレンジなどが含まれています。「常に有効」オプションを選択すると、これらの攻撃対策が完全に自動的に動作します。「オンデマンド」オプションを選択し、L7 DDoS保護機能をユーザーの判断で手動で有効化することもできます。
L7 DDoS攻撃対策機能は、Oracle Cloud Infrastructure WAFの一部です。WAFは、トラフィックおよびリクエスト量に基づく従量制のサブスクリプションです。詳細は、Oracleの価格設定ページをご覧ください。
トラフィックは、リバース・プロキシ・アーキテクチャを介してOracle Cloud Infrastructureエッジ・ネットワークに自動的にルーティングされます。エッジ・ネットワークには、Webアプリケーションに到達する前にすべてのHTTPおよびHTTPSトラフィックを検査する、グローバルに分散されたPoPが存在します。PoPは、有効化されたDDoS対策を使用して、悪意のあるボットネットからのトラフィックとして識別されたトラフィックを自動的に排除します。
Oracle Cloud Infrastructureポータルには、アラート、ブロック・リクエスト、ボット攻撃対策、およびログに関するほぼリアルタイムのレポート作成機能を搭載したコンソールが用意されています。
特定のCIDR範囲からの接続のみを受け入れるように元のイングレス・ルールを構成します。更新済リストを取得するには、スタート・ガイドのWAFの保護を参照してください。
いいえ、現時点ではこの機能をサポートしていません。
Oracle Cloud Infrastructure WAFはCRS 3.0をサポートしています。
API、CLI、SDKまたはTerraformを使用してスクリプトを作成することをお薦めしますが、すべてを同時に有効にすることはお薦めしません。
詳細は、Web Application Firewallのメイン・ページをご覧ください。
Oracle Fusion Cloud Applications Suite向けWAFは、Oracle SaaS Cloud Securityチームがアプリケーション・データに関するアプリケーション・レベルの攻撃をさらに可視化することで、お客様のセキュリティ体制を向上させます。Fusion Applications向けWAFは、お客さまに、完全な透明性と、オラクルの専門分野エキスパートによるエンドツーエンドの管理を提供します。このすぐに利用可能なサービスにより、お客様は、アプリケーションの回復力や可用性に影響を与えることなく、Fusion Applicationsの更新、監視、管理、対応、および保護を担当する24時間365日営業のセキュリティ・オペレーション・センターからサポートを受けることができます。
Fusion Applications向けWAFは、Oracle Cloud InfrastructureでホストされているすべてのFusionのお客様に対して無料で提供されます。
Fusion Applications向けWAFはロード・バランサと共にデプロイされ、受信トラフィックへのレイテンシの影響を最小限に抑えながら、Fusion ApplicationsやAPIへのWebリクエストのあらゆる部分を検査できる数百のルールに対応しています。
Fusion Applications向けWAFは、Oracle Cloud Infrastructure WAFをSaaS製品向けに細かく調整したバージョンです。SaaSのセキュリティ・チームが設計したすぐに利用可能なルールに基づいてトラフィックをフィルタリングし、レイヤー7を常時保護することで、SaaSアプリケーションを攻撃から保護します。