ノート:
- このチュートリアルではOracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
- Oracle Cloud Infrastructure資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了する場合は、これらの値をクラウド環境に固有の値に置き換えてください。
柔軟なLoad BalancerにOracle Cloud Infrastructure Web Application Firewall保護を追加します
イントロダクション
Webアプリケーションは、多くの場合、アプリケーションの脆弱性と構成ミスを利用する悪意のある攻撃のターゲットです。Oracle Cloud Infrastructure Web Application Firewall (OCI WAF)は、Open Web Application Security Project (OWASP)のトップ10の脆弱性によって識別される一般的なWeb脆弱性から何らかの保護を提供することで、アプリケーションのセキュリティ体制を強化するのに役立ちます。OCI WAFは、OCI Flexible Load BalancerやWebアプリケーション・ドメイン名などの強制ポイントにアタッチされた、リージョンベースおよびエッジ強制サービスです。
OCI WAFは、Edge WAFとRegional WAF (Load Balancer上のWAF)の2つのバージョンを使用して、レイヤー7の脅威からWebアプリケーションを保護します。OCIロード・バランサ上のWAFは、内部アプリケーションを内部脅威から保護し、リージョン内のアプリケーション・ワークロードに対して強化されたWAFセキュリティを提供するのに役立ちます。Load Balancer上のWAFは、パブリック・アプリケーションとプライベート・アプリケーションの両方をサポートしています。地域が存在するアプリケーションに最適です。Edge WAFは、グローバルに配布されるパブリック対応のアプリケーション/ユーザーに最適です。
目標
OCI WAFの保護機能をOCI Load Balancerに適用します。
前提条件
- OCI Load BalancerおよびOCI WAFポリシーを作成および管理するためのアクセス権を持つOCIアカウント
- Webアプリケーションが事前構成されています(このチュートリアルでは、Webアプリケーションはポート80でOCIで実行されています)
- OCIフレキシブルLoad Balancer
タスク1: 柔軟なロード・バランサの設定
-
このブログの手順に従って、OCIコンソールにパブリック・ロード・バランサを作成します。
-
このチュートリアルでは、パブリック・ロード・バランサを作成し、事前構成済のWebアプリケーションをバックエンド・サーバーとしてこのロード・バランサに追加しました。
-
ロード・バランサ名はLB_WAFです。OCIで作成すると、次のステータスがOCIコンソールに表示されます。
-
ロード・バランサに対して表示された「全体的なヘルス」には、各バックエンド・セットのヘルス・ステータス・サマリーが表示されます。「OK」と表示されているヘルス・ステータス・インジケータは、バックエンド・セット内のすべてのバックエンド・サーバーが正常に実行中であることを意味します。
タスク2: Load BalancerのWebアプリケーション・ファイアウォール・ポリシーの作成
Webアプリケーション・ファイアウォール・ポリシーは、アクセス・ルール、レート制限ルール、保護ルールなど、OCI WAFサービスの全体的な構成で構成されます。
ノート:
WAFアクセス制御は、ジオロケーション、URL問合せ、IPアドレス、リクエスト・ヘッダーなどの条件に基づいて、Webアプリケーションへのアクセスを制御するルールで構成されます。
レート制限により、HTTPリクエストのプロパティを検査でき、一意のクライアントIPアドレスごとにリクエストの頻度を制限できます。
保護ルールは、Webトラフィックをルール条件と照合し、条件を満たした場合に実行するアクションを決定します。
-
OCIコンソール、「アイデンティティとセキュリティ」、「Web Application Firewall」に移動します。
-
コンパートメントを選択し、WAFポリシーの作成をクリックします。
-
WAFポリシーの「名前」および「コンパートメント」の基本情報を入力します。
-
サンプル・アクセス制御ルール、レート制限および保護ルールを追加します。
-
アクセス制御ルール: このチュートリアルでは、キーワードscriptを含むURLパスの条件が満たされたときに、アクセス制御ルールを作成しました。ルール・アクションは、認可されていないHTTPレスポンス(401)を返します。
ルール出力
-
レート制限ルール: キーワードrateを含み、10秒間に3回アクセスされるURLパスの条件が満たされた場合にアクセスを制限するレート。ルール・アクションは、HTTPレスポンス(303)とメッセージを返します。
ルール出力
-
保護ルール: このチュートリアルでは、クロスサイト・スクリプティング(XSS)に対する保護ルールを有効にしました。XSSルールの有効化に基づいてWAFがURLに注入されたスクリプトを認識します。Load Balancer IPにクロス・サイト・スクリプトを注入しようとすると、ルールで設定されているアクセスが拒否されます。
ルール出力
-
-
タスク1でファイアウォールとして作成されたLoad Balancer (LB_WAF)を追加します。
-
WAFポリシーの作成ウィザードから、「確認および作成」オプションを選択します。WAFポリシーが作成されると、次の詳細が表示されます。
関連リンク
承認
作成者: Soumya Shruti (シニア・クラウド・セキュリティ・エンジニア)
その他の学習リソース
docs.oracle.com/learnで他のラボをご覧いただくか、Oracle Learning YouTubeチャネルでより無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。
製品ドキュメントについては、Oracle Help Centerを参照してください。
Add Oracle Cloud Infrastructure Web Application Firewall protection to a flexible Load Balancer
F80290-01
April 2023
Copyright © 2023, Oracle and/or its affiliates.