技術営業部の大原です。
今回は、Alibaba Cloud が提供するWAFサービス「Alibaba Cloud WAF」の特徴・機能を記載します。
※ 2021年9月時点の情報です。
目次
Alibaba Cloudでは様々な外部のサイバー攻撃から、Alibaba Cloudのサービスを守るためセキュリティプロダクトの開発に注力しています。
そのセキュリティプロダクトの一つである Alibaba Cloud WAF(Web Application Firewall)は、Alibaba Cloudによる10年以上のセキュリティ経験に基づいて開発されたWeb攻撃防御のためのサービスであり、ビッグデータの機能を活用した高度な防御メカニズムを備えている進化型のサービスです。
Alibaba Cloud WAF不仅可以安装在Alibaba Cloud上,对于在本地部署(On-Premise)、VPS(虚拟专用服务器)、以及其他云服务商所提供的服务器上的系统,也仅需要切换DNS 即可安装,而不受安装的基础设施环境限制。
● ゼロデイ攻撃防御
・24時間以内に動的に防御ルールを更新することで、速やかにリスクに対処が可能。
● Webサイトの隠蔽
・DNSを利用してトラフィックを迂回させることで、侵入者からサイトを隠蔽し保護。
● OWASP攻撃防御
・様々な防御ポリシーや検疫機能を提供し、SQLインジェクションなどの既知の攻撃も正確に判定し防御。
● HTTPS機能の追加
・プライベートキーファイルをアップロードするだけで、サイトにHTTPS機能を付加。
● アクセスコントロール
・多層保護により、侵入に必要となるサイトの情報収集行為を判定し遮断。
● 正確な悪意のあるアクセス判定
・ボットなど悪意のあるアクセスは正確に特定でき、ブロックされる際に評価します。
● カスタムポリシー
・必要に応じて自由に防御ルールの変更や反映が可能。
Alibaba Cloud WAFでは、処理能力・防御機能・ケース別に応じて4エディション が選択できます。
例えば、Professionalエディションからスモールスタートし、Webアクセスの増加に合わせてエディションの変更することが可能なので、用途や状況にあわせて柔軟にスケールアップすることができます。
| 特徴 | 概要 | Pro Edition | Business Edition | Enterprise Edition | Exclusive Edition (submit tickets to purchase) |
| ピークリクエスト率 | – | 2,000 QPS | 5,000 QPS | 高于10,000 QPS | 5,000 QPS |
| 最大帯域幅 | 配信元サーバーが Alibaba Cloud にデプロイされている場合 | 50 Mbit/秒 | 100 Mbit/秒 | 200 Mbit/秒 | 100 Mbit/秒 |
| 配信元サーバーが Alibaba Cloud にデプロイされない場合 | 10 Mbit/秒 | 30 Mbit/秒 | 50 Mbit/秒 | 30 Mbit/秒 | |
| デフォルトでサポートされる最大ドメイン数 | – | 1 | 1 | 1 | 1,000 |
| デフォルトでサポートされる最大サブドメイン数 | ワイルドカードドメインをサポート | 10 | 10 | 10 | 1,000 |
| HTTPS保護 | 数回クリックするだけで、WebサイトにHTTPS保護を実装 | ✓ | ✓ | ✓ | ✓ |
| HTTPS/2保護 | HTTP / 2を使用するWebサイトを保護 | × | ✓ | ✓ | ✓ |
| 非標準のポートプロテクション | 標準ポート80・8080・443 及び8443以外のポートを介したトラフィックを保護 | × | ✓ | ✓ | ✓ |
| インテリジェントな負荷分散 | 複数のSLBサービスノードに接続して、自動ディザスタリカバリと低遅延の最適なルーティングを実装 | ○ | ○ | ○ | ○ |
| 排他的IPアドレス | 特定のドメイン名を保護するための排他的IPアドレスを提供 | ○ | ○ | ○ | ○ |
| 排他的クラスター | SQLインジェクションやXSS攻撃などの一般的なWeb攻撃から保護 | × | × | × | ✓ |
| 保護ルールエンジン | SQLインジェクションやXSS攻撃などの一般的なWeb攻撃から保護 | ✓ | ✓ | ✓ | ✓ |
| Webのゼロデイ脆弱性に対する保護ルールの自動更新を有効 | ✓ | ✓ | ✓ | ✓ | |
| カスタム保護ルールグループ | 保護ルールグループをカスタマイズ | × | ✓ | ✓ | ✓ |
| ビッグデータディープラーニングエンジン | Webのゼロデイ脆弱性を検出 | × | ✓ | ✓ | ✓ |
| ポジティブセキュリティモデル | Webサイトのトラフィックのディープラーニングに基づいて、積極的な防御機能を提供 | × | × | ✓ | ✓ |
| Webサイトの改ざん防止 | コンテンツの改ざんを防ぐためにWebページをロック | ✓ | ✓ | ✓ | ✓ |
| データ漏えい防止 | IDカード番号・携帯電話番号・銀行カード番号などの機密データの漏洩を防御 | ✓ | ✓ | ✓ | ✓ |
| HTTPフラッドプロテクション | 予防または予防緊急モードでの一般的なHTTPフラッド攻撃から保護 | ✓ | ✓ | ✓ | ✓ |
| ブラックリスト | 特定のIPアドレスまたはCIDRブロックからのアクセス要求をブロック | ✓ | ✓ | ✓ | ✓ |
| 特定のIPアドレス・特定のCIDRブロック または特定の地域のIPアドレスからのアクセス要求をブロック | × | ✓ | ✓ | ✓ | |
| スキャン保護 | Web攻撃とパストラバーサルが頻繁に開始されるIPアドレスとスキャンツールのIPアドレスをブロックし、協調的な防御を提供(デフォルトのルールは、最初のタイプのIPアドレスをブロックするために使用) | ✓ | ✓ | ✓ | ✓ |
| 上記の保護機能をサポートし、高頻度のWeb攻撃とパストラバーサルのブロックルールをカスタマイズ | × | ✓ | ✓ | ✓ | |
| カスタム保護ポリシー | IP・URL・リファラー・ユーザーエージェント・パラメーターなどの基本的なフィールドを使用して、ACLベースのアクセス制御をサポート | ✓ | ✓ | ✓ | ✓ |
| 基本フィールドと詳細フィールドを使用して、ACLベースのアクセス制御をサポート( 詳細フィールドには、Cookie・Content-Type・Header・HTTP-Methodを含む) | × | ✓ | ✓ | ✓ | |
| IPアドレスとセッションに基づいてレート制限ポリシーを構成(一致条件を追加し、レート制限ポリシーを構成できるHTTPフラッド保護ルールをカスタマイズ) | × | ✓ | ✓ | ✓ | |
| IPアドレス・セッション・カスタムフィールドに基づいてレート制限ポリシーを構成 | × | × | ✓ | ✓ | |
| データリスク管理 | 登録・ログオン・アクティビティ・フォーラムなどの重要なWebサイトサービスを詐欺から保護 | ○ | ○ | ○ | ○ |
| 許可されたクローラー | Google・Bing・Baidu・Yandexなどの承認された検索エンジンで構成されるホワイトリストを維持(これらの検索エンジンのクローラーは、指定されたドメイン名にアクセス) | ○ | ○ | ○ | ○ |
| ボット脅威インテリジェンス | データセンターおよび悪意のあるスキャナーによって使用される疑わしいIPアドレスに関する情報を提供(悪意のあるクローラーのIPアドレスライブラリも維持し、クローラーがドメイン名または特定のディレクトリの下にあるすべてのページにアクセスするのを防御) | ○ | ○ | ○ | ○ |
| アプリの保護 | ネイティブアプリに安全な接続とボット防止保護を提供 (プロキシサーバーとエミュレーターからの要求および無効な署名を持つ要求を識別) | ○ | ○ | ○ | ○ |
| アカウントのセキュリティ | 辞書攻撃・ブルートフォース攻撃・スパムユーザー登録・脆弱なパスワード・登録エンドポイントやログオンエンドポイントなどのサービスエンドポイントに対するSMSフラッド攻撃を検出 | ✓ | ✓ | ✓ | ✓ |
| WAFのログサービス | すべてのログを収集して保存し、ほぼリアルタイムのクエリと分析を可能にし、オンラインレポートを提供 | × | ○ | ○ | ○ |
Alibaba Cloud WAFはSaaS型のため、Alibaba Cloud以外のオンプレミス・クラウドのインフラ環境でも利用することができます。プラットフォームを選ばないマルチクラウド対応なので、とても汎用性がありそうです。
▼ 企業WeChat公式アカウント▼
▼ WeChatで担当者に直接連絡 ▼
WeChatスキャンコード
「Webマーケティング代行サービス」の提供を開始"
友和生活のホームぺージリニューアル事例を公開"