ノート:

• このチュートリアルではOracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
• Oracle Cloud Infrastructure資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了する場合は、これらの値をクラウド環境に固有の値に置き換えてください。

柔軟なLoad BalancerにOracle Cloud Infrastructure Web Application Firewall保護を追加します

イントロダクション

Webアプリケーションは、多くの場合、アプリケーションの脆弱性と構成ミスを利用する悪意のある攻撃のターゲットです。Oracle Cloud Infrastructure Web Application Firewall (OCI WAF)は、Open Web Application Security Project (OWASP)のトップ10の脆弱性によって識別される一般的なWeb脆弱性から何らかの保護を提供することで、アプリケーションのセキュリティ体制を強化するのに役立ちます。OCI WAFは、OCI Flexible Load BalancerやWebアプリケーション・ドメイン名などの強制ポイントにアタッチされた、リージョンベースおよびエッジ強制サービスです。

OCI WAFは、Edge WAFとRegional WAF (Load Balancer上のWAF)の2つのバージョンを使用して、レイヤー7の脅威からWebアプリケーションを保護します。OCIロード・バランサ上のWAFは、内部アプリケーションを内部脅威から保護し、リージョン内のアプリケーション・ワークロードに対して強化されたWAFセキュリティを提供するのに役立ちます。Load Balancer上のWAFは、パブリック・アプリケーションとプライベート・アプリケーションの両方をサポートしています。地域が存在するアプリケーションに最適です。Edge WAFは、グローバルに配布されるパブリック対応のアプリケーション/ユーザーに最適です。

目標

OCI WAFの保護機能をOCI Load Balancerに適用します。

前提条件

• OCI Load BalancerおよびOCI WAFポリシーを作成および管理するためのアクセス権を持つOCIアカウント
• Webアプリケーションが事前構成されています(このチュートリアルでは、Webアプリケーションはポート80でOCIで実行されています)
• OCIフレキシブルLoad Balancer

タスク1: 柔軟なロード・バランサの設定

• このブログの手順に従って、OCIコンソールにパブリック・ロード・バランサを作成します。

• このチュートリアルでは、パブリック・ロード・バランサを作成し、事前構成済のWebアプリケーションをバックエンド・サーバーとしてこのロード・バランサに追加しました。

• ロード・バランサ名はLB_WAFです。OCIで作成すると、次のステータスがOCIコンソールに表示されます。

  

• ロード・バランサに対して表示された「全体的なヘルス」には、各バックエンド・セットのヘルス・ステータス・サマリーが表示されます。「OK」と表示されているヘルス・ステータス・インジケータは、バックエンド・セット内のすべてのバックエンド・サーバーが正常に実行中であることを意味します。

タスク2: Load BalancerのWebアプリケーション・ファイアウォール・ポリシーの作成

Webアプリケーション・ファイアウォール・ポリシーは、アクセス・ルール、レート制限ルール、保護ルールなど、OCI WAFサービスの全体的な構成で構成されます。

ノート:

• WAFアクセス制御は、ジオロケーション、URL問合せ、IPアドレス、リクエスト・ヘッダーなどの条件に基づいて、Webアプリケーションへのアクセスを制御するルールで構成されます。

• レート制限により、HTTPリクエストのプロパティを検査でき、一意のクライアントIPアドレスごとにリクエストの頻度を制限できます。

• 保護ルールは、Webトラフィックをルール条件と照合し、条件を満たした場合に実行するアクションを決定します。

1. OCIコンソール、「アイデンティティとセキュリティ」、「Web Application Firewall」に移動します。

   

2. コンパートメントを選択し、WAFポリシーの作成をクリックします。

3. WAFポリシーの「名前」および「コンパートメント」の基本情報を入力します。

   

4. サンプル・アクセス制御ルール、レート制限および保護ルールを追加します。

   • アクセス制御ルール: このチュートリアルでは、キーワードscriptを含むURLパスの条件が満たされたときに、アクセス制御ルールを作成しました。ルール・アクションは、認可されていないHTTPレスポンス(401)を返します。

     

     ルール出力

     

   • レート制限ルール: キーワードrateを含み、10秒間に3回アクセスされるURLパスの条件が満たされた場合にアクセスを制限するレート。ルール・アクションは、HTTPレスポンス(303)とメッセージを返します。

     

     ルール出力

     

   • 保護ルール: このチュートリアルでは、クロスサイト・スクリプティング(XSS)に対する保護ルールを有効にしました。XSSルールの有効化に基づいてWAFがURLに注入されたスクリプトを認識します。Load Balancer IPにクロス・サイト・スクリプトを注入しようとすると、ルールで設定されているアクセスが拒否されます。

     

     ルール出力

     

5. タスク1でファイアウォールとして作成されたLoad Balancer (LB_WAF)を追加します。

   

6. WAFポリシーの作成ウィザードから、「確認および作成」オプションを選択します。WAFポリシーが作成されると、次の詳細が表示されます。

   

関連リンク

• OCI WAF

• Open Web Application Security Project(OWASP)上位10件の脆弱性

• OCIフレキシブルLoad Balancer

• OCIコンソール

承認

作成者: Soumya Shruti (シニア・クラウド・セキュリティ・エンジニア)

その他の学習リソース

docs.oracle.com/learnで他のラボをご覧いただくか、Oracle Learning YouTubeチャネルでより無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。

---

タイトルおよび著作権情報

Add Oracle Cloud Infrastructure Web Application Firewall protection to a flexible Load Balancer

F80290-01

April 2023

Copyright © 2023, Oracle and/or its affiliates.