ノート:

• このチュートリアルでは、Oracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
• Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントに例の値を使用します。演習を完了するときは、これらの値をクラウド環境に固有の値に置き換えます。

OCI Web Application FirewallによるOracle IntegrationでのVisual Builder Cloud Serviceアプリケーションの保護

イントロダクション

Web Application Firewallは、SQLインジェクション、クロスサイト・スクリプティング(XSS)、リモート・コード実行などの幅広いオンライン脅威からWebアプリケーションを保護します。そのため、Oracle Cloud Infrastructure (OCI) Web Application Firewall (WAF) (エッジまたはリージョン)を使用してVisual Builder Cloud Service (VBCS)アプリケーションを保護することをお薦めします。

目的

このチュートリアルでは、Edge WAFを使用する2つのシナリオについて説明します。

1. 個々のVBCSアプリケーション専用のWAF。

2. 複数のVBCSアプリケーション用に一元化されたWAF。

アプリケーション名	カスタムURL
VBCS APP1	myapp1.mydomain.com
VBCS APP2	myapp2.mydomain.com

前提条件

WAF構成に進む前に、VBCSアプリケーションのカスタム・アプリケーションURL/バニティ・ドメインの構成およびVBCSアプリケーションへのバニティ・ドメインの構成を参照してください。

シナリオ1: 個々のVBCSアプリケーション用の専用WAFの設定

この場合、各VBCSアプリケーションは専用のWAFで設定されます。

タスク1.1: WAFの作成

1. OCIコンソールで、「アイデンティティとセキュリティ」、「Web Application Firewall」、「ポリシー」、「WAFポリシーの作成」に移動します。

   

2. URIで、「VBCSアプリケーションのカスタム・アプリケーションURL/バニティ・ドメインの構成」のステップ「カスタム・エンドポイント別名の詳細の取得」から取得した代替カスタム・エンドポイントを入力します。

タスク1.2: 証明書のアップロード

1. 「設定」、「一般設定」、「編集」にナビゲートします。

   

2. 「証明書と秘密キーのアップロードまたはペースト」を選択します。最初のフィールドに、CA signed certificate chainと入力します。2番目のフィールドで、秘密キーを入力します。

   

タスク1.3: 変更の公開

ノート:セキュリティ・ポリシーに従って「アクセス・ルール」および「保護ルール」を構成します。このチュートリアルでは説明しません。

タスク1.4: DNSレコードの作成

1. カスタムAPP URLをWAF CNAMEターゲットにポイントします。次に示すように、WAFページからCNAMEターゲットを取得します:

   

2. CNAME DNSレコードを次のように作成します。

   カスタム・ホスト名	WAF CNAMEターゲット
   myapp1.mydomain.com	<xxxyyyy.o.waas.oci.oraclecloud.net>

シナリオ2: 複数のVBCSアプリケーション用に集中管理されたWAFの設定

ロード・バランサとともに単一のWAFを使用して、複数のVBCSアプリケーションを保護できます。この設定は、複数のVBCSアプリケーションでWAFポリシーが同じ場合に適しています。

タスク2.1: WAFの作成

1. OCIコンソールで、「アイデンティティとセキュリティ」、「Web Application Firewall」、「ポリシー」、「WAFポリシーの作成」に移動します。

   

2. app2、app3のカスタムURLを追加ドメインとして更新します。

3. 「URI」フィールドに、OCI Load BalancerパブリックIPを入力します。

タスク2.2: 証明書のアップロード

1. 「設定」、「一般設定」、「編集」にナビゲートします。

   

   

   ノート:複数のアプリケーションに単一のWAFを使用する場合は、すべてのアプリケーション・ドメイン名を含むSAN証明書をリクエストしてください。

タスク2.3: DNSレコードの作成

1. カスタムAPP URLをWAF CNAMEターゲットにポイントします。次に示すように、WAFページからCNAMEターゲットを取得します:

   

2. CNAME DNSレコードを次のように作成します。

   カスタム・ホスト名	WAF CNAMEターゲット
   myapp1.mydomain.com	<xxxyyyy.o.waas.oci.oraclecloud.net>
   myapp2.mydomain.com	<xxxyyyy.o.waas.oci.oraclecloud.net>

WAFバイパスの防止

Oracle Integrationの「ネットワーク・アクセス」オプションには、ユーザーが直接URLにアクセスしてWAFをバイパスできないようにする許可リストが用意されています。

WAF IP範囲のリストは、WAF IP範囲を参照してください。

ノート: シナリオ2では、NSG/SecListを更新して、ロード・バランサがWAF IP範囲からのみアクセスできることを確認してください。

まとめ

バニティ・ドメインまたはカスタムURLは、お客様がVBCSインスタンスでホストされているアプリケーションを強化する貴重な機会となります。パーソナライズされたドメインを選択することで、顧客はブランド・アイデンティティを強化し、プロフェッショナルなオンライン・イメージを促進し、ユーザーにとってより記憶に残るエクスペリエンスを作成できます。バニティ・ドメイン/カスタムURLを利用することで、お客様はインフラストラクチャの基盤となるアプリケーションを保護し、実際のホスト名への直接公開から保護できます。

さらに、アプリケーションの前にWeb Application Firewall(WAF)を実装することで、セキュリティ対策をさらに一歩進めることができます。WAFはプロアクティブな防御メカニズムとして機能し、受信したWebトラフィックを分析およびフィルタリングすることで、悪意のある攻撃のリスクを軽減し、エンドユーザーにとってより安全なブラウジング体験を確保します。

要約すると、バニティ・ドメイン/カスタムURLとWAFの実装を組み合せると、VBCSインスタンスでホストされるアプリケーションのブランディングとセキュリティの両方の側面が強化され、企業がデジタル環境で成功するための包括的で堅牢なソリューションが提供されます。

関連リンク

• Visual Builder - カスタムURLの指定

• Oracle Integrationインスタンスの更新

• Oracle Integration - インスタンスのカスタム・エンドポイントの構成

• WAF IP範囲

謝辞

• 著者: Anil Guttala (Oracle Cloud Infrastructure、シニア・クラウド・エンジニア)

その他の学習リソース

docs.oracle.com/learnの他のラボをご覧いただくか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。

---

タイトルおよび著作権情報

Protect Visual Builder Cloud Service Apps on Oracle Integration with OCI Web Application Firewall

F87546-04

October 2023

Copyright © 2023, Oracle and/or its affiliates.