Oracle Cloud Infrastructureドキュメント

Webアプリケーション・ファイアウォールの概要

ロード・バランサやWebアプリケーション・ドメイン名などの強制ポイントにアタッチされたリージョンベースおよびエッジ強制サービスであるOracle Cloud Infrastructure Oracle Cloud Infrastructure Web Application Firewallについて学習します。

WAFは、悪意のある不要なインターネット・トラフィックからアプリケーションを保護します。WAFは、インターネット接続エンドポイントを保護することにより、顧客のアプリケーションに対する一貫性のあるルール適用を実現できます。

ノート

エッジ強制にWAFを使用する場合は、「エッジ・ポリシー」を参照してください。

WAFを使用すると、クロスサイト・スクリプティング(XSS)、SQLインジェクション、およびその他のOWASP定義の脆弱性を含むインターネットの脅威に対してルールを作成および管理できます。アクセス・ルールは、地理情報またはリクエストの署名に基づいて制限できます。

WAFポリシーは、ロード・バランサのプラグインとして機能するリージョン別ソリューションです。

エッジ・ポリシーはグローバル・ソリューションです。このソリューションを使用するには、世界中のOracleノードを許可リストに登録し、DNSを使用して、提供するCNAMEにアプリケーションをポイントします。

設定およびポリシーを手動で再作成することで、エッジ・ポリシーをWAFポリシーに変換できます(逆も同様です)。この変換のための自動化された方法またはツールは存在しません。

エッジ強制にWAFを使用する場合は、「エッジ・ポリシー」を参照してください。

WAFの概念

Webアプリケーション・ファイアウォール(WAF)に関連する概念について説明します。

アクセス制御
アクセス制御には、リクエスト制御およびレスポンス制御が含まれます。
アクション

アクションは、次のいずれかを表すオブジェクトです:

  • 許可: ルールが一致したときに、現在のモジュール内の残りのすべてのルールをスキップするアクション。
  • チェック: 現在のモジュールでのルールの実行を停止しないアクション。かわりに、ルール実行の結果をドキュメント化したログ・メッセージを生成します。
  • 返却HTTPレスポンス: 定義されたHTTPレスポンスを返すアクション。
条件
各ルールは、条件としてJMESPath式を受け入れます。HTTPリクエストまたはHTTPレスポンス(ルールのタイプに応じて)は、WAFルールをトリガーします。
ファイアウォール
ファイアウォール・リソースは、WAFポリシーとロード・バランサなどの強制ポイント間の論理リンクです。
ネットワーク・アドレス・リスト
ネットワーク・アドレス・リストとは、個別のパブリックIPアドレスおよびCIDR IP範囲、またはWAFポリシーで使用されるプライベートIPアドレスの集合です。
オリジン
Webアプリケーションのオリジン・ホスト・サーバー。
保護ルール
保護ルールは、トラフィックをログに記録するか、許可するか、ブロックするかを決定するために使用される保護機能のセットです。WAFは、Webアプリケーションへのトラフィックを監視します。使用可能なWAFルールのリストを表示するには、保護機能を参照してください。
レート制限
レート制限により、HTTP接続プロパティの検査が可能になり、特定のキーのリクエストの頻度が制限されます。
リクエスト制御
リクエスト制御により、HTTPリクエスト・プロパティの検査および定義されたHTTPレスポンスの返却が可能になります。
リクエスト保護ルール
リクエスト保護ルールを使用すると、HTTPリクエストに悪意のあるコンテンツがあるかどうかをチェックし、定義されたHTTPレスポンスを返すことができます。
レスポンス制御
レスポンス制御により、HTTPリクエスト・プロパティの検査および定義されたHTTPレスポンスの返却が可能になります。
Webアプリケーション・ファイアウォール(WAF)

WAFは、悪意のある好ましくないインターネット・トラフィックからアプリケーションを保護する、Payment Card Industry (PCI)に準拠したグローバル・セキュリティ・サービスです。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。

組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループコンパートメントおよびポリシーを設定する必要があります。これらのポリシーは、ユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードおよび同様のタスクを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。

会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。

イベントを使用した自動化の作成

イベント・タイプ、ルールおよびアクションを使用して、Oracle Cloud Infrastructureリソースの状態変更に基づく自動化を作成できます。詳細は、イベントの概要を参照してください。

リソースのタグ付け

リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用するか、後でリソースを必要なタグで更新します。タグ適用についての一般情報は、リソース・タグを参照してください。

セキュリティ

このトピックでは、WAFのセキュリティについて説明します。

セキュリティ情報や推奨事項など、WAFを保護する方法の詳細は、Web Application Firewallの保護を参照してください。