Oracle Cloud Infrastructureドキュメント

Web Application Firewallサービスの概要

Oracle Cloud Infrastructure Web Application Firewall (WAF)は、クラウド・ベースの、Payment Card Industry (PCI)準拠のグローバル・セキュリティ・サービスであり、悪意のあるものや望ましくないインターネット・トラフィックからアプリケーションを保護します。 WAFインターネット向けのエンドポイントを保護できます。これにより、カスタマ・アプリケーション全体での構成ルールの強制が提供されます。

WAF、これにより、クロスサイト・スクリプティング(XSS)、SQLインジェクションおよびその他のOWASP定義の脆弱性など、インターネットの脅威のルールを作成および管理できます。 連絡先が推奨する最低限のボットを入力できる間は、目的のないボットで軽減できます。 アクセス・ルールは、リクエストの地理やシグネチャに基づいて制限できます。

グローバル・セキュリティ操作センター(SOC)は、ITインフラストラクチャの拡張機能として動作するインターネット脅威を継続的にモニターします。

Web Application Firewallサービス・コンポーネント

webアプリケーション・ファイアウォール・ポリシー
WAFポリシーには、オリジン管理機能、保護ルール設定機能、およびボット検出機能などのWAFサービスの全体的な構成が含まれています。
オリジン
Webアプリケーションのオリジン・ホスト・サーバー。 保護ルールまたはその他の機能を設定するには、WAFポリシーでオリジンを定義する必要があります。
保護ルール
保護ルールは、保護ルールの指定した基準を満たしたときに、ネットワーク・リクエストの許可、ブロック、またはログ記録を行うように構成できます。 WAFは時間の経過とともにWebアプリケーションへのトラフィックを監視し、適用する新しいルールを提案します。 使用可能なWAFルールのリストを表示するには、「サポートされている保護ルール」を参照してください。
ボット管理
WAFサービスにはいくつかの機能があり、これらを使用してユーザーはWebアプリケーションに対する識別されたボット・トラフィックを検出し、ブロックまたは許可できます。 ボットの管理機能には次が含まれます。: JavaScriptチャレンジ、CAPTCHAチャレンジ、GoodBotホワイトリスト。 詳細は、「Bot管理」を参照してください。

WAFサービスにアクセスする方法

Oracle Cloud Infrastructureには、コンソール(ブラウザベースのインタフェース)、「コマンド・ライン・インタフェース(CLI)」、またはREST APIを使用してアクセスできます。 コンソールとAPIの手順は、このガイドのトピックに含まれています。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。 このページの上部にあるコンソール・リンクを使用して、サインイン・ページにアクセスできます。 テナンシ、ユーザー名、およびパスワードを入力します。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。

組織の管理者は、どのユーザーがどのサービス、どのリソースおよびアクセスのタイプにアクセスできるかを制御するグループ、コンパートメントおよびポリシーを設定する必要があります。 たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、「ポリシーの開始」を参照してください。 異なる各サービスに対するポリシーの記述の詳細は、「ポリシー・リファレンス」を参照してください。

会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、管理者に連絡してユーザーIDを設定してください。 管理者は、使用する必要があるコンパートメントを確認できます。

APIに関する注意

WAFサービスは、Oracle Cloud Infrastructure Web Application Acceleration and Security (WAAS) APIによって電源が供給されています。 WAF関連コールはすべて、WAAS APIを使用して行う必要があります。 APIを使用してWAF構成を作成するには、まずAPIを使用し、定義されたオリジンとドメインを使用して「WAASポリシー」を作成する必要があります。 アクセス制御の目的で、サービスを配置するコンパートメントのOCIDを指定する必要があります。 アクセス制御およびコンパートメントの詳細は、「IAMサービスの概要」を参照してください。

WAFサービス機能と制限

WAFサービスは、テナントおよびポリシー当たり100のアクセス・ルールごとに50のポリシーに制限されています。制限の増加をリクエストする手順は、「サービス制限」を参照してください。

WAFサービスでは、クラスタ・プロセスのアップロードとダウンロードの合計実行時間が20分になります。

必要なIAMサービス・ポリシー

Oracle Cloud Infrastructureを使用するには、waas-policyのポリシーでアクセス権を付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

ポリシーの例:

  • WAFで特定のユーザー・グループにポリシーの管理を許可するには:
    Allow group <GroupName> to manage waas-policy in compartment <CompartmentName>
    Allow group <GroupName> to read waas-work-request in compartment <CompartmentName>
  • WAFで特定のユーザー・グループに証明書の管理を許可するには:
    Allow group <GroupName> to manage waas-certificate in compartment <CompartmentName>
  • WAFで特定のユーザー・グループの表示ポリシーを許可するには
    Allow group <GroupName> to read waas-policy in tenancy <TenancyName>

ポリシーの新しい場合は、「ポリシーの開始」および「共通ポリシー」を参照してください。 WAFのポリシーの詳細は、「WAFサービスの詳細」を参照してください。

リソースのタギング

リソースにタグを適用して、ビジネス・ニーズに合わせてタグを整理するのに役立てることができます。 リソースを作成するときにタグを適用することも、後でそのタグを使用してリソースを更新することもできます。 タグの適用に関する一般的な情報は、「リソース・タグ」を参照してください。