Comments
Description
Transcript
WAPPLESの詳細はこちら [PDF / 1.34MB]
WAF( WAF(Web Application Firewall) WAPPLES( WAPPLES(ワップル) ワップル)のご紹介 のご紹介 三和コムテック株式会社 2010年6月 All Rights Reserved, Copyright(C) Sanwa Comtec 2010 Web Application Firewall (WAFとは (WAFとは? とは?) ウェブアプリケーションファイヤーウォール(WAF)は、アプリケーションを外部攻撃から守るセ キュリティ ソリューションです。 ネットワーク ファイアウォールならびに ファイアウォールならびに IPS/IDS は通常 Layer 4、ネットワーク・ ネットワーク・ セッション レイヤまでしか レイヤまでしか保護 までしか保護せず 保護せず、 せず、通常 Layer 7、 7、アプリケーション レイヤまでは レイヤまでは保護 までは保護しない 保護しない。 しない。 IT アーキテクチャー IT セキュリティ アプリケーションセキュリティ APPLICATIONS Web Application Firewall (WAF) システムセキュリティ( システムセキュリティ(クライアントサーバセキュリティ) クライアントサーバセキュリティ) SYSTEMS IPS, IDS, AntiAnti-virus software ネットワークセキュリティ NETWORKS Network Firewall All Rights Reserved, Copyright(C) Sanqa Comtec 2010 Webアプリケーション Webアプリケーション セキュリティがなぜ セキュリティがなぜ重要 がなぜ重要か 重要か? サービスを サービスを提供することを 提供することを主 することを主として作 として作られ、 られ、ダイナミックに ダイナミックに動くウェブアプリケーション、 ウェブアプリケーション、ウェブサーバの ウェブサーバのセキュリティ をリアルタイムで リアルタイムで監視、 監視、攻撃防御すること 攻撃防御すること ネットワークセキュリティ製品 ネットワークセキュリティ製品( 製品(Network Firewall)、 Firewall)、システムセキュリティ )、システムセキュリティ製品 システムセキュリティ製品(IPS, 製品(IPS, IDS, AntiAnti-Virus)では Virus)では、 では、 アプリケーションへの アプリケーションへの攻撃 への攻撃は 攻撃は防御できない 防御できない。 できない。 Application Application Application Presentation Presentation Presentation Session Session Session Transport (TCP) Transport (TCP) Transport (TCP) Network (IP) Network (IP) Network (IP) Data Link Data Link Data Link Physical Physical Physical Firewall/IPS/IDS All Rights Reserved, Copyright(C) Sanqa Comtec 2010 WAF Web Server/ Web Application ウェブアプリケーションファイアウォール導入 ウェブアプリケーションファイアウォール導入の 導入のメリット ウェブアプリケーション、ウェブサーバーへの攻撃(SQLインジェクションな ど)を保護 攻撃による情報漏えいを防ぐ コードレビューと比べてコストが安い ウェブアプリケーション、ウェブサーバに対してダイナミックパッチのように 動作するので、早いROIを提供 コンプライアンス(PCI-DSSなど)に対応 セキュリティチームと開発チームの間で効率的にセキュリティの確保を しつつ、ウェブサービスの向上に集中できる All Rights Reserved, Copyright(C) Sanqa Comtec 2010 ペンタセキュリティシステムズWAF ペンタセキュリティシステムズWAFの WAFの優位性 弊社独自の 弊社独自の攻撃検知技術である 攻撃検知技術である、 である、インテリジェントエンジンを インテリジェントエンジンを搭載 ブラックリスト・ ブラックリスト・ホワイトリスト登録 ホワイトリスト登録にたよらない 登録にたよらない防御技術 にたよらない防御技術 誤検知、 誤検知、過剰検知の 過剰検知の最小化 ブラックリスト・ ブラックリスト・ホワイトリストの ホワイトリストの登録に 登録に時間がかからないため 時間がかからないため容易 がかからないため容易に 容易に導入ができ 導入ができ、 ができ、 導入と 導入と同時に 同時に高いセキュリティを セキュリティを確保 管理者にかかる 管理者にかかる負担 にかかる負担の 負担の軽減と 軽減と人的( 人的(うっかり) うっかり)ミスを ミスを防ぐ 定義更新にたよらない 定義更新にたよらない攻撃検知技術 にたよらない攻撃検知技術 定義の増加によるパフォーマンス パフォーマンスの パフォーマンスの低下を 低下を起こさない 定義の更新に費用がかからないためトータルコスト トータルコストの トータルコストの削減につながる 削減 コモンクライテリアEAL4 コモンクライテリアEAL4を EAL4を取得 PCI-DSS 要綱6.6に対応 All Rights Reserved, Copyright(C) Sanqa Comtec 2010 WAPPLESの WAPPLESの主要機能 多様な 多様なウェブセキュリティ機能 ウェブセキュリティ機能を 機能を提供 個人情報流出防止及び 個人情報流出防止及びコンテンツ保護 コンテンツ保護 各種情報を 各種情報を22種類 22種類の 種類のチャートで チャートで表示 設定ウィザード 設定ウィザードにより ウィザードにより容易 により容易に 容易にセキュリティポリシーを セキュリティポリシーを設定 多様な 多様なウェブ環境 ウェブ環境を 環境をサポート マスキング処理 マスキング処理により 処理によりクレジットカード によりクレジットカード番号防止 クレジットカード番号防止 不適切単語の 不適切単語の自動変換機能を 自動変換機能を搭載 便利な 便利な強力な 強力な管理ツール 管理ツールを ツールを提供 ウェブ攻撃 ウェブ攻撃を 攻撃を検知、 検知、遮断 アクセスコントロール 攻撃に 攻撃に対し多様な 多様な対応を 対応を提供 暗号化通信( 暗号化通信(SSL) SSL)の内容を 内容を検査 冗長化構成を 冗長化構成をサポート( サポート(アクティブ‐ アクティブ‐アクティブ、 アクティブ、アクティブスタンバイ) アクティブスタンバイ) 安定した 安定したサービス したサービス提供 サービス提供のために 提供のためにトラブル のためにトラブル対応機能 トラブル対応機能を 対応機能を提供 自己診断機能( 自己診断機能(Watchdog) Watchdog) バイパスモード 監査機能 All Rights Reserved, Copyright(C) Sanqa Comtec 2010 WAPPLES( APPLES(インテリジェント型 インテリジェント型WAF)の WAF)の特徴 まとめ Webサイトへの攻撃・改ざん・個人情報流出を防止 ポリシー設定が容易(推奨ポリシーの提供、簡単な画面操 作) 従来の「パターンマッチング」方式ではなく「ロジック分析」方 式による誤検知率低下 コストパフォーマンス(安価で高いスループットを実現) SSL対応が可能 PCI認証(6.6-2)やコモン・クライテリアEAL4を取得 サービス中断を生じさせない可用性(バイパスモード) All Rights Reserved, Copyright(C) Sanqa Comtec 2010 WAPPLESと WAPPLESと他社製WAF 他社製WAFとの WAFとの比較表 との比較表 WAPPLES 他社WAF 他社 ロジック分析 ブラックリスト・ホワイトリスト方式 第3世代のインテリジェント・エンジンを搭載。ワール ドワイドでの特許申請中。導入・設定が容易。誤検 知・過剰検知の最小化する。 ブラックリスト・ホワイトリストの登録に時間がかか り、管理者の負担が大きく、人的ミスが発生する可 能性がある。 パフォーマンス シグニチャの定義増加によるパフォーマンス劣化を 起こさない。利用期間が増えても検知処理速度を維 持できます。 パターンマッチングのため、対象ファイル数とシグ ネチャ数が増加すると劇的にパフォーマンスの低 下。利用期間が増えればその分パフォーマンス劣 化。 コスト 定義更新に費用がかからないのでトータルコストの 削減。 定義更新に別途費用がかかる場合がある。 操作性 簡単な画面操作。エンドユーザ様での運用・管理が 可能。 設定やチューニングが難しく、誤検知や設定漏れ が起こりやすい。 管理面 グラフやチャート表示により視覚的に管理することが 可能。 グラフなどを提供していない場合もある コンプライアンス PCI-DSS対応WAFとしてQSAから認定受理。またコ モンクライテリアEAL4に合格。 認定を受けていない場合もある 検知方式 All Rights Reserved, Copyright(C) Sanqa Comtec 2010 ロジック分析検知 ロジック分析検知 vs. シグネチャ検知 シグネチャ検知 ロジック分析検知 ロジック分析検知 シグネチャ検知 シグネチャ検知 攻撃検知ルール 攻撃検知ルール シグネチャDB シグネチャDB 現在 脆弱性を検知する25のルールによりクライアントから のリクエストを効率的に検査する。 既知の攻撃を検知するシグネチャによりクライ アントリクエストをフルスキャン検査する。 ロジック分析による検知のため検知処理速度を維持 シグネチャの増加に伴い検知処理速度が低下 攻撃検知ルール 攻撃検知ルール 未来 シグネチャDB シグネチャDB シグネチャに頼らないロジックエンジンによる 検知のため検知性能の低下は少ない。 All Rights Reserved, Copyright(C) Sanqa Comtec 2010 亜種、新種の攻撃に対応するシグネチャ増加する。 検知性能が低下し、誤検知が増加する。 WAPPLESWAPPLES-100type2, WAPPLESWAPPLES-1000type2 Classification WAPPLESWAPPLES-100 type 2 WAPPLESWAPPLES-1000 type 2 アプライアンス 1U Rack type 2U Rack type Single Intel 2.4 GH Dual Intel Xeon 2.33 GHz Quad Core Quad Core Memory 4 GB 8 GB HDD 500GB 500GB 500GB 500GB Throughput 500 Mbps Max. 2 Gbps Max. CPU 8 x 10/100/1000 BaseTX 2 x 1000 BaseSFP 8 x 10/100/1000 BaseTX NIC (モジュール (モジュール式構成 モジュール式構成) 式構成) 2 x 1000 BaseTX (1 for management) (1 for management) Optical Bypass (optional) デザイン All Rights Reserved, Copyright(C) Sanqa Comtec 2010 WAPPLES基本 WAPPLES基本導入 基本導入プロセス 導入プロセス 導入プロセス 導入プロセス (2週間~1ヶ月) 運用プロセス 運用プロセス (1~3か月サイクル) 本番環境事前調査・導入プラン作成 運用プラン作成 管理者トレーニング(3日間) 検知ログを基にポリシー再検討 本番環境への導入(1日) セキュリティポリシーの設定 検知ログ収集・ポリシー再検討 (1~3週間) 運用・攻撃分析レポート ソフトウェア更新 セキュリティポリシーの設定 All Rights Reserved, Copyright(C) Sanqa Comtec 2010 ありがとうございました お問い合わせは、弊社営業部 [email protected] まで http://www.sct.co.jp http://www.sct.co.jp/ www.sct.co.jp/ All Rights Reserved, Copyright(C) Sanwa Comtec 2010