Comments
Description
Transcript
F5 BIG-IP ASMを用いたJSONおよび AJAXメッセージ
Solution Profile | セキュリティ F5 BIG-IP ASM を用いた JSON および AJAX メッセージの保護 JSON は、AJAX ベースの汎用アプリケーション言語で、高度にダイナミックなコンテンツ の記述に用いられます。JSON は、Web サイトの HTML ページの、パーソナライズ可能セク ションのみを書き換えるための急速に人気を拡大しているテクノロジです。しかし残念な がら、JSON メッセージは、そのダイナミックでリッチな性質のために新たなセキュリティ 脅威を招き、Web ページの特定のセクションや個人を攻撃対象の危険にさらしています。 F5® BIG-IP® Application Security Manager ™(ASM)は、JSON および AJAX メッセージのペイ ロードを安全に保護して、XSS および JSON ハイジャックを防御します。 AJAX および JSON アプリケーションの保護 非同期の JavaScript および XML(AJAX)は、アプリケーション、ユーザ、システム間でメッ セージベースのダイナミックなデータを交換する方法です。単一のテクノロジとして言及 されることもよくありますが、AJAX は、HTML や CSS、XML、JavaScript といった Web ベー スのメッセージ交換テクノロジ、標準、フォーマットの総称です。その 1 つの AJAX 実装が JavaScript Object Notation(JSON)で、人間が理解しやすい、XML に類似の名前 / 値のペアの 集合です。 従来の同期通信 Web POST イベントでは、データが URI にストレートに名前 - 値の形で埋め 込まれて(param1=name¶m2=location& …のように)Web サーバに送られますが、そ れとは異なり JSON のデータは、これより長く、オブジェクトと呼ばれる名前 - 値の構造化 された階層のメッセージ・フォーマットを利用して、Web アプリケーション間で非同期交 換を実現します。 JSON メッセージの交換では、いわゆる名前 - 値 POST イベントを利用した従来の Web アプ リケーション通信より、はるかに多くの情報を(構造的にオブジェクトのメッセージにも、 オブジェクトデータのメッセージにも)埋め込めるのが特徴です。さらに、JSON メッセー ジは画像やデータ、実行ファイルなどバイナリのペイロードを組み込めるため、標準的な HTML ページで取り扱えないファイルも、非同期でパーソナライズしてやり取りできる利 点があります。たとえば、Web ページでは多くのウィジェットが JSON を利用して、画像の ストリームや気象情報などパーソナライズした情報をユーザに提供しています。 しかし同時に、JSON あるいは AJAX では、データの柔軟性の高さから、名前 - 値のペアを ベースにした Web アプリケーション攻撃に絶好の環境を提供する結果を招いています。 JSON コードの記述に弱点があると、名前 - 値のオブジェクトデータを操作するか、あるい はバイナリペイロードを挿入または変更することでアプリケーションを改ざんし、ユーザ がカスタマイズしたコンテンツを見られないようにできます。また、AJAX 攻撃には手の 込んだものもあり、XSS あるいは JSON ハイジャック攻撃を仕掛けて、ターゲットユーザの パーソナライズした個人情報を流出させることもできます。 F5 BIG-IP Application Security Manager(ASM)は、AJAX データの交換に使用される JSON メッセージおよびアプリケーションを、アプリケーション・レベルで堅牢に保護します。 BIG-IP ASM は、Web アプリケーションの既知の脆弱性すべてをブロックするよう設計され ており、OWASP Top 10 はもちろん、XSS、SQL インジェクション、クロスサイト・リクエ スト・フォージェリ(CSRF)といった、AJAX のメッセージ交換に埋め込むことのできる攻 撃にも対応します。 主な機能 • A J A X ポリシー ̶ ダイ ナミックな AJAX お よ びJSON コ ン テ ンツに お けるセ キュリティポリシ ー を サ ポート • J S O N パ ー サ ̶ オブジェクトレベ ル の イ ン ス ペ ク ション に お い て A J A X お よ び J S O N メッセ ー ジ 専 用 パ ー サ を提 供 • レ ス ポ ン ス 挿 入 ̶ 影響を受けた AJAX コ ン ポ ー ネ ン ト に の み 警 告 メッセージを埋め込んで提供 • あらゆるアプリケーションのサポー ト̶ オブジェクトレベルで防御性 能を実現してカスタム・アプリケー ションをサポート 主なメリット • A J A X お よ びJ S O N メッセ ー ジ を 保 護 ̶ アプリケ ーション全 体 のセ キュリティポリシーに、 メッセージ、 オブジェクト、ペ イロ ードのリア ル タイムの スクリー ニングを組 み 込 み 、ダ イ ナ ミック な A J A X お よ び J S O N コンテンツを保 護 • カスタムビ ルドの J S O N 保 護 ̶ 特 別 設 計した J S O N メッセ ー ジ 専 用 パ ー サ を 統 合 す る こ と で 、パ フォー マンスを 犠 牲にすることな く、A J A X 対 応 ア プ リ ケ ー ション を最 高レベ ルで 保 護 • リアルタイムの 警 告 ̶ H T M L ペ ー ジ 内 の A J A X 要 素 に 関し て、専 用 のレポ ート、警 告 、ユ ー ザレスポン スを生 成 • 柔軟なセキュリティポリシー設定̶ AJAX 対応アプリケーションに既存の JSON セキュリティポリシーを適用し、 アプリケーションおよびセキュリティ のニーズに応じて、管理者権限で微 調整を可能に Solution Profile | セキュリティ ソリューション 詳細について インラインのアプリケーション・プロキシとして、BIG-IP ASM は JSON メッセージを解析 して、アプリケーション、クライアント、サーバ間でデータ転送を行う AJAX アプリケー ションを保護します。BIG-IP ASM では、セキュリティポリシーを JSON メッセージに適用 して強化することができ、リアルタイムで防御、警告、レポート作成を行います。 BIG-IP APM ソリューションの詳細は、 次のリソースを参照するか、f5.com の 検索機能を使用してください。 BIG-IP ASM には以下の機能があります。 製品概要 BIG-IP Application Security Manager • JSON ペイロード・プロテクション ̶ BIG-IP ASM は専用の JSON パーサを用いてすべて の JSON メッセージを検査し、埋め込まれているオブジェクトペアおよびバイナリペイ ロードにセキュリティポリシーを適用します。BIG-IP ASM を用いれば、URL ワイルドカー ドおよびパラメータ、不正フォームのデータ、ならびに JSON ペイロード、メソッド、 オブジェクトの制限など、JSON セキュリティ・パラメータの多くが強化されます。 ホワイトペーパー Application and Data Security with F5 BIG-IP ASM and Oracle Database Firewall • リアルタイムの埋め込み型ブロック警告 ̶ AJAX を用いれば、HTML Web ページ内の全 コンテンツを書き換えることなく、アプリケーション、クライアント、サーバ間の情 報交換を制御できる利点があります。したがって、JSON 違反が検知されたら、BIG-IP ASM は埋め込み型の警告を返すか、URL をリダイレクトして、その AJAX 管理インスタ ンスに関してセキュリティ問題が発生したことを、ユーザに知らせることができます。 • アプリケーション・シグネチャ ̶ BIG-IP ASM には豊富なアプリケーション・シグネチャ が装備されており、定期的に更新されています。BIG-IP ASM のアプリケーション・シグ ネチャには、AJAX や JSON メッセージを用いたアプリケーションも数多く含まれており、 ASP.NET や JQuery、MooTools などのプラットフォーム上で動作するアプリケーション のシグネチャも、日常的に追加されています。 F5 BIG-IP ASM は、AJAX の非同期通信や JSON メッセージを用いたアプリケーションも含め て、Web ベースのいかなるアプリケーションにも対応した、アプリケーション・レベルの 総合プロテクションです。 受信HTTPリクエストに対して JSONセキュリティルールを強化 デスクトップ BIG-IP Application Security Manager アプリケーション サーバ あなたのリクエストは弊社のセキュリティポリシーに 違反しています。管理者にお問い合わせください。 サポートID:971758980902682657 [このメッセージを閉じる] クライアント上に ブロックメッセージを表示 AJAX アプリケーションおよび JSON ペイロードの保護 東京本社 〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19 階 TEL 03-5114-3210 FAX 03-5114-3201 西日本支社 〒530-0017 大阪市北区角田町 8- 47 阪急グランドビル 20 階 TEL 06-7711-1655 FAX 06-7711-1501 www.f5networks.co.jp © 2011 F5 Networks, Inc. All rights reserved.F5、F5 Networks 、F5 のロゴ、BIG-IP、FirePass 、および iControl は、米国および他の国における F5 Networks, Inc. の商標または登録商標です。本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。 これらの仕様はすべて予告なく変更される場合があります。本発行物の記載内容に誤りがあった場合、あるいは記載内容を更新する義務が生じた場合も、F5 ネットワークスは一切責任を負いません。F5 ネットワークスは、本発行物を予告なく変更、修正、転載または改訂する権利を有します。 July-2011