Comments
Transcript
NetScaler Application Firewall を使用した XML アプリケーションの保護
ホワイトペーパー ∣ Citrix NetScaler NetScaler Application Firewall を使用した XML アプリケーションの保護 企業は、HTML ベースのアプリケーションだけでなく、XML と XML に関連する Web サービステクノロジに依存するアプリケーションも 保護する必要があります。Citrix NetScaler Application Firewall の XML セキュリティ機能は、HTML アプリケーションおよび各種の XML アプリケーションの両方を同時に保護する、Web アプリケー ションセキュリティの理想的なソリューションです。 www.citrix.com HTML は、長く Web の主要言語としての地位を占めていましたが、最近では、 HTML だけが主要言語であるとは決していえない状況です。サービス指向アーキテ クチャ(SOA)と Web 2.0 構想の発展と共に、XML(Extensible Markup Language)も 広く使用されるようになりました。こうしたことから、企業は、自社の Web セキュリティイ ンフラストラクチャで、HTML ベースのアプリケーションだけでなく、XML と XML に 関連する Web サービステクノロジに依存するアプリケーションも確実に保護する必 要があります。 Citrix® NetScaler® Application Firewall の XML セキュリティ機能は、HTML アプリ ケーションと各種の XML アプリケーションの両方を同時に保護する、Web アプリ ケーションセキュリティの理想的なソリューションです。 Web アプリケーションの進化 Web のコンセプトは進化を続けています。HTML のみで実現される静的でインタラク ティブ性に欠けるコンテンツは、新しいアプローチとテクノロジで実現されるより動的 で柔軟なソリューションに主役の座を奪われています。この点で大きな変革要因と なったのは、SOA と Web 2.0 の 2 つです。 SOA は、相互運用性のある独立したサービスのゆるやかな結合によるアプリケーショ ンの構築で実現されています。SOA は、主にイントラおよびインターネットビジネスの 両方で使用され、データとコンピューティングリソースを分離し、広範な B2B コラボ レーションを支援ならびに情報リソースの再利用を容易にします。 「ビジネスの目的を達成するために、継承された Web 機能のすべてを活用する」と 言われる Web 2.0 も同じ役割を果たします。これまで Web 2.0 の実装は、主に B2C (business-to-consumer)と B2E(business-to-employee)の分野で行われていました。 これらの実装では、ブラウザに従来のクライアントサイドアプリケーションと互換性の ある機能を提供するテクノロジを最大限活用することで、ユーザーに提供するエクス ペリエンスと機能を強化することに力を入れていました。 SOA と Web 2.0 は異なるものですが、注目すべき共通点があります。まず、どちらの 概念も大きな価値があるため、幅広く追求されています。運用効率がよく、ベンダー 選択の自由度が高いこと、パートナーシップを結ぶ機会が増え、顧客満足度が上が ることなど、これらは組織が得る利点のごく一部にすぎません。2 つめの共通点は、 どち ら の概 念の 実装 も 、Simple Object Access Protocol (SOAP )、Web Services Definition Language ( WSDL ) 、 Representational State Transfer ( REST ) 、 お よ び AJAX などの Web サービスのテクノロジとプロトコルに依存していることです。 その結果、Web トラフィック内で使用される XML の割合は次第に増加し、重要性を 増しており、現在最もよく使用される多くの Web サービスで、XML は基盤のコン ポーネントとなっています。しかし、HTML や初期の Web テクノロジと同様、XML に も課題がないわけではありません。 2 ホワイトペーパー ∣ Citrix NetScaler VPX XML の課題 XML ベースのアプリケーションが持つ 1 番の課題は、適切なセキュリティを施すこと です。設計上、このようなアプリケーションは、機密性の高いものを含むデータを幅 広く共有できるようにすることが意図されています。自己記述的データ形式をとる XML は、交換される情報の意味と重要性を簡単に構築できるよう、ほとんどすべて のエンティティに対してコンテキストを提供します。つまり、XML のリスクは、通常、バ イナリやプロプライエタリ形式のリスクよりも大きくなります。 機密性、整合性、および説明責任 通常、リソースへのアクセスは、組織の認証インフラストラクチャか、または個々のア プリケーション内で管理されます。同様に、暗号化や否認防止機能は、アプリケー ションレベルで実行されるのが一般的です。本格的な Web サービスを実装している 企業であれば、これらの機能をサポートするために専用の XML ゲートウェイを配備 していることもあります。ただし、これらの製品は通常、HTML ベースの Web アプリ ケーションをサポートしていません。 企業は、機密性、整合性、および説明責任が重要でないシナリオも数多くあることを 認識する必要があります。たとえば、多くの Web 2.0 アプリケーションの目標は、分散 性、可視性、およびコラボレーションを最大化することにあります。この場合、データ、 アイデア、およびフィードバックの交換と操作が自由に行われることがルールになりま す。 脅威からの保護 XML のセキュリティについて次に考えなければならないことは、悪意のある脅威と、 意図的でない脅威の両方に対して保護の必要があるということです。脅威からの保 護は、機密性、整合性、および説明責任の取り組み方に関わらず、あらゆるシナリオ で適用可能なものです。さらに、個々のアプリケーションだけでは脅威からの保護は 容易ではなく、効果的でもありません。また、専用の XML ゲートウェイを使用する場 合には、(パフォーマンスまたは機能上の制限があるため)別のソリューションが必要 になります。 脅威に対して、適切なレベルでの保護を確実に行うことは複雑です。どのエンティ ティがどのリソースにアクセスできるかなど、数多くの既知数を扱うプライバシーや整 合性サービスとは異なり、脅威からの保護では、数多くの未知数を考慮する必要が あるからです。 データの流出を防止することは、規制の要求条件がある場合には特に重要です。理 想的なソリューションとは、次のような、XML アプリケーションに適用できる最も一般 的な脅威のカテゴリに対応できなければなりません。 フォーマットベースの攻撃 – 構文ルールが侵害され、クラッシュを 起こしたり、防御策が破られたり、メッセージプロセスルーチンが悪 用されます。 コンテンツベースの攻撃 – 弱い制約やビジネスロジックが攻撃さ れ、インジェクションや悪意のあるコマンドを実行されます。 サービス不能(DoS)攻撃 – メッセージプロセスの脆弱性を突かれ、 1つ以上のシステムリソース(CPU、メモリなど)を枯渇させます。 3 パフォーマンス XML はパフォーマンス面の課題もあります。XML トラフィックは、通常はバイナリで はなくテキストベースであるため、帯域幅を大量に消費し、圧縮解凍、検証、および 構文解析にサーバーリソースを多く必要とします。したがって、XML アプリケーショ ンの効果的な保護スキームを作成する場合、考えられる限りのソリューションの処理 パフォーマンスとレイテンシーを考慮する必要があります。 NetScaler の XML セキュリティ機能 市場をリードする Web アプリケーションデリバリソリューションである NetScaler には、 アプリケーションファイアウォールがオプションとして用意されています。 NetScaler Application Firewall の堅牢なメカニズムを使用して、企業は Web アプリ ケーションのセキュリティを保護できます。Adaptive Learning Engine、ビジネスオブ ジェクト検出、およびポジティブセキュリティモデルを強化する機能を搭載した Application Firewall は、従来の Web アプリケーション、その基盤となるテクノロジ、 および Web アプリケーションで提供される機密情報において脆弱性が認められる場 合に、必要性の高いマルチレイヤ保護を提供します。さらに、 NetScaler プラット フォームと緊密に統合されているため、Application Firewall は容易に効率よく展開 できます。 NetScaler Application Firewall は、XML ベースのアプリケーションをあらゆる脅威か ら保護します。以下に示すように、データ損失防止から、既知および未知のフォー マット攻撃、コンテンツ攻撃、および DoS 攻撃の防御まで、各種のチェックメカニズ ムが、あらゆる種類の重大な脅威を撃退します。 Application Firewall の XML セキュリティ機能を以下の表に示します。 4 ホワイトペーパー ∣ Citrix NetScaler VPX XML セキュリティ機能 機能 説明 フォーマットチェック XML の構文ルールに一致しない、処理の不整合またはセキュリティの侵害につながる可能性の ある要求をブロックします。 DoS(サービス不能)のチェック 処理命令の埋め込み、外部エンティティへの参照、再帰的問い合わせの拡大、ネスト階層(属性 の数量)の超過、および過度に長い要素など、DoS 攻撃の特性を示す要求をブロックします。 クロスサイトスクリプティングのチェック 目的のアプリケーションまたはシステムに障害を引き起こすことを狙った、サードパーティ製スクリ プトの実行を可能にするエラーを含む要求をブロックします。 SQL インジェクションのチェック バックエンドの SQL データベースサーバーのデータを抽出する、またはサーバーを制御不能に する試みを示す不正な SQL シンボルとキーワードを含む要求をブロックします。 XML アタッチメントのチェック 悪意のある実行ファイルおよびウイルスを含むアタッチメントがアプリケーションサーバーに届くの を防ぎ、アプリケーションサーバーに障害を発生させたり、そのサーバーから障害が広がらないよ うにします。 Web Services Interoperability ( Web サービス相互運用)のチェック Web Services Interoperability(WS-I)の標準に準拠していない要求をブロックし、XML サービス の相互運用を攻撃の手段とする不正使用を防止します。 メッセージのスキーマ違反のチェック ユーザーが提供した WSDL ドキュメントまたは XML スキーマに照らして SOAP エンベロープま たは XML メッセージの構成とコンテンツを検証することで、特殊な構成の不正メッセージを使用し た攻撃が実行されるのを防ぎます。 スタート URL のチェック ユーザーが表示したページからアクセスするべきでない URL へアクセスすることを防止します。 バッファーのオーバーフロー、不正アクセスや機密情報の漏えいにつながる可能性のあるサイト が強制的にブラウザ表示されるのを防ぎます。 拒否 URL のチェック マルウェアやハッカーが、既知のセキュリティ上の弱点(Web サーバーソフトウェアや多くの Web サイトに存在する)を持つ URL にアクセスするのを防ぎます。 クッキーの整合性チェック 返されたクッキーが、各ユーザーにサイトから発行されたクッキーと一致していることを確認しま す。これにより、他人のユーザー認証情報でログオンし、不正アクセスを可能にする手段として クッキーが改ざんされるのを防ぎます。 バッファーオーバーフローのチェック 指定された最大長を超える URL、クッキー、またはヘッダーを含む要求をブロックし、脆弱なオペ レーティングシステムや Web サーバーソフトウェアが予期しない動作を行ったり、クラッシュしたり するのを防ぎます。 クレジットカードのチェック Web サーバーや Web アプリケーションの弱点を突き、顧客のクレジットカード番号を盗み出す恐 れのある攻撃を防ぎます。 Safe オブジェクトのチェック 顧客番号や注文番号、個人を特定できる情報などの機密情報をユーザー設定で保護できるよう にします。 サービスプロキシおよびレイヤ 3/4 の保 護 SSL プロキシとしての動作状態と、さまざまな TCP/IP の適合性チェックと正規化ルーチンの実 行結果に基づき、すべてのトラフィックに対して IP レベルとトランスポートレベルのセキュリティを 提供します。 サービスの難読化 URL やアドレスを書き換えて、社内の命名規則と設定の詳細をマスキングすることで、サービス へのスキャンニング攻撃や列挙攻撃を防ぎます。 監査ログ 経営管理、企業統治、規則遵守などの目的で、社員のコンピュータ操作について詳細な記録を維 持します。 5 XML セキュリティにおける NetScaler の利点 NetScaler を使用した XML アプリケーションの脅威からの保護は、他のア プローチよりも次の点で優れています。 複数の多種多様な Web アプリケーションセキュリティ製品への投 資の必要性をなくす Application Firewall この組み込みの XML ファイアウォールは、従来の SOAP Web サービス だけでなく、XML を多用した数多くの Web 2.0 アプリケーションを保護しま す。さらに、その基本的な機能である市場をリードするセキュリティ機能は、 組織が引き続き使用する必要がある従来の HTML アプリケーションもサ ポートします。企業は、Web アプリケーションのセキュリティを総合的に保 護できるだけでなく、PCI-DSS(Payment Card Industry Data Security Standard)などの業界規制を遵守するための、効果的かつ効率的な手段 を得ることもできます。 堅牢な専用プラットフォームに実装された Application Firewall カスタマイズされた TCP/IP スタックやディターミニスティックプロセッシング モデルを採用した、最適化されたシステムソフトウェアと各種のハードウェ アアーキテクチャを組み合わせることで、レイテンシーの少ない大容量のシ ステムを構築できます。これにより、XML トラフィックの処理に関するパ フォーマンス上の問題を緩和できます。また、カスタマイズされた堅牢なオ ペレーティングシステムには、保守の必要性を低減し、ネットワーク層の各 種の脅威に対して防御対策を共有化できるため、運用コストを節約できる などのさまざまな利点があります。DoS/DDoS 攻撃の防御、ネットワーク ACL および Object Rate 制限などのプラットフォームレベルの機能と Application Firewall を組み合わせることで、ネットワーキングスタックのす べてのレイヤにわたる総合的なセキュリティを実現できます。 総合的なアプリケーションデリバリソリューションの 1 要素とし Application Firewall NetScaler は、Web アプリケーションの処理速度を 5 倍高速化し、アプリ ケーションの可用性のセキュリティを向上し、コストを大幅に削減します。 Application Firewall 以外にも、緊密に統合されている NetScaler の他の 機能として、HTTP 圧縮、静的/動的コンテンツのキャッシュ、TCP の最適 化、レイヤ 4 サーバー負荷分散、レイヤ 7 のコンテンツスイッチング、グ ローバルサーバー負荷分散、SSL VPN と SSL オフロード、および高速化 などがあります。つまり、NetScaler によって、企業は、総合的な Web アプ リケーションデリバリソリューションを、自社の都合に合わせたペースで効 率よく段階的に実装することができるということです。 6 ホワイトペーパー ∣ Citrix NetScaler 結論 SOA コンセプトの浸透や最近の Web 2.0 アプリケーションへの注目が相まって、最 新の Web サービステクノロジの普及に拍車がかかっています。 そのため、企業は、HTML ベースの Web アプリケーションのセキュリティを保護する だけのインフラストラクチャでは追随することが困難になっています。また、急激に増 えてきている XML を活用したユーティリティやビジネスアプリケーションの保護も急 務です。こうした観点で、NetScaler Application Firewall は理想的なソリューションと 言えます。Application Firewall は、HTML アプリケーションと XML アプリケーション の両方に高いパフォーマンスで、さまざまなセキュリティ機能を提供します。また、 NetScaler と機能が緊密に統合されている Application Firewall によって、組織は、シ トリックスの総合的なアプリケーションデリバリポートフォリオに含まれる他のコンポー ネントを効率的に実装することができます。 Application Firewall の 詳 細 に つ い て は 、 Citrix.com の 『 NetScaler Application Firewall Guide』を参照してください。 Citrix について Citrix Systems, Inc.(Nasdaq:CTXS)は、仮想化、ネットワーキング、およびソフトウェアに特化したトッププロバイダーであり、 これらのサービス技術を世界中の 23 万社以上もの企業や組織に対して提供しています。同社の Citrix Delivery Center、 Citrix Cloud Center(C3)、Citrix Online Services の各製品ファミリーは、ユーザーがどこにいて、どんなデバイスを使用して いようとも、すべてのユーザーに対してアプリケーションをオンデマンドで配信することにより、数百万ユーザーを対象としたコ ンピューティングを根本的に簡素化します。Citrix の顧客には、世界最大級のインターネット企業である各社、Fortune Global 500 に選ばれている企業のうちの 99%、および数十万もの中小企業やプロシューマーが含まれています。また、Citrix は、 100 ヶ国以上の 1 万を超える企業とパートナー契約を結んでいます。同社は 1989 年に設立され、2008 年度の収益は 16 億 ドルでした。 ©2009 Citrix Systems, Inc. All rights reserved. Citrix® 、NetScaler® および Citrix Application Firewall™ は 、Citrix Systems, Inc.またはその子会社の登録商標であり、米国の特許商標局およびその他の国に登録されています。その他の商 標や登録商標はそれぞれの各社が所有権を有するものです。 0709/PDF