Next-generation Web Application Firewall
アプリケーションのWebへの移行が進むにつれて、重要なビジネスアプリケーションをホストするサーバーは、悪意のある攻撃、改ざん、および知的財産、顧客情報、その他の機密ビジネスデータを危険にさらす可能性のあるその他のセキュリティインシデントの標的になり、経済および評判に大きな損害をもたらします。
ASFシリーズは、最も広範囲にわたる攻撃メカニズムから保護し、ハッカーを停止させるアクティブなインシデント対応を提供します。インシデント後の分析と診断により、将来の攻撃からサーバーを強化するためのガイダンスを提供します。
ASFシリーズは、ポジティブWAFモデルとネガティブWAFモデルを組み合わせたアーキテクチャを採用して、Webアプリケーションの防御を同時に提供できるようにします。
ネガティブWAFモデルは、最新の攻撃のシグネチャをサポートするためにアレイシグネチャライブラリを随時アップグレードすることにより、最新の既知のWeb攻撃から防御します。
ポジティブなWAFモデルは通常のトラフィックの特性を学習し、防御プロファイルを動的に更新するため、さまざまな種類の複雑で未知のWeb攻撃を効果的に停止します。
ASFシリーズは、サードパーティのWeb脆弱性スキャナー(IBM AppScan)のスキャン結果を実行可能なセキュリティポリシー(「VirtualPatch」と呼ばれます)に変換できる仮想パッチ機能をサポートし、顧客への脆弱性によるリスクを軽減します。
Enterprise-grade DDoS Mitigation
ASFシリーズは、OSIネットワークモデルのL3からL7へのDDoS攻撃を軽減できます。
トラフィックのベースラインを学習することで、顧客の既存のネットワークに適した防御ルールを自動的に生成し、複数のソース検証メカニズムをサポートして、攻撃ソースと正当なソースを正確に区別し、迅速な応答と正確な防御を実現できます。
ASFシリーズによって緩和されるL3からL7へのDDoS攻撃には、次のものが含まれますが、これらに限定されません。
- HTTP GET Flood attack
- HTTP POST Flood attack
- HTTP Slowloris attack
- HTTP Slow Post attack
- HTTP ChallengeCollapsar (CC) attack
- HTTP Packet Anomaly attacks
- SSL Handshake attack
- SSL Renegotiation attack
- SSL Packet Anomaly attacks
- DNS Query Flood attack
- DNS Reply Flood attack
- DNS NXDomain Flood attack
- DNS Cache Poisoning attack
- DNS Packet Anomaly attacks
- TCP SYN Flood attack
- TCP SYN-ACK Flood attack
- TCP ACK Flood attack
- TCP FIN/RST Flood attack
- TCP Connection Exhaustion attack
- TCP Fragment Flood attack
- TCP Slow Connection attack
- TCP Abnormal Connection attack
- UDP Flood attack
- UDP Fragment Flood attack
- TCMP Flood attack
- Smurf, Ping of Death, LAND, IP Spoofing, Teardrop, Fraggle, Winnuke, Tracert and other malformed single-packet attacks
柔軟な導入オプション
ASFシリーズは、お客様のさまざまなネットワーク状況に対応する柔軟な導入オプションを提供します。ASFシリーズは、次の展開モードをサポートしています。
- ブリッジ透過モード:
- ブリッジプロキシモード:
- ルーティング透過モード:
- ルーティングプロキシモード:。
- Out-of-path TAPモード:
多段階のセキュリティ処理
- セキュリティインシデントが発生する前に、Web脆弱性スキャナーを使用してアプリケーションをスキャンし、スキャン結果を実行可能なセキュリティポリシー(「仮想パッチ」と呼ばれる)にすばやく変換できるため、顧客への脆弱性によるリスクを軽減できます。
- セキュリティインシデントの間、ASFシリーズは防御プロファイルを適用して攻撃をリアルタイムで検出およびブロックし、疑わしい要求データとすべての関連する相互作用データを含む詳細な監査ログを記録します。
- セキュリティインシデントの発生後、管理者はログと統計を分析して防御プロファイルを調整し、防御の正確さと効率を向上させることができます。
洗練されたシグニチャーライブラリ
ASFシリーズは、Array Security Center(ASC)によって定期的にリリースされたAttack Signature Library(ASL)を統合しています。
このライブラリには、SQLインジェクション、PHPインジェクション、XSS、クローラー/スキャナー、CSRF、リーチ、Webshell、機密データの漏えい、セッションの乗っ取り、プロトコル違反など、最新の既知のWeb攻撃の定義済みシグネチャが含まれています。
ASCは、ASLを定期的に更新およびリリースして、新しい攻撃または脆弱性のシグネチャを追加し、スキャナー/クローラーのタイプ、悪意のあるURL、およびWebshell特性を更新します。
ASFシリーズは、ASLの手動および自動更新をサポートしています。
ASFシリーズを使用すると、管理者は、アプリケーションタイプ、プラットフォームタイプ、データベースタイプ、プログラミング言語などのアプリケーション特性に基づいて署名ルールセットを作成できます。これにより、アプリケーションが最適化され、最高の防御精度とパフォーマンスが提供されます。
さらに、ASFシリーズはカスタム攻撃シグネチャとサードパーティの商用攻撃シグネチャの統合をサポートしています。
SSL Offload
ASFシリーズは、ハードウェアSSLまたはソフトウェアベースのSSLオフロード機能を提供します。これにより、計算集中型のSSL暗号化および復号化のワークロードがASFアプライアンスに移行され、バックエンドサーバーのワークロードが削減され、サーバーのパフォーマンスが向上します。
SSLオフロード機能を使用すると、ASFシリーズはHTTPパケットの詳細な検査を実行できるため、暗号化方式を使用した攻撃が隠れることはありません。
包括的なサーバー保護
ASFシリーズは、サーバーに包括的なサーバー保護を提供します。
- ASFシリーズは高度なACLをサポートしており、レイヤー3からレイヤー7のトラフィック特性に基づいて、指定された防御オブジェクトのトラフィック制御を可能にします。
- ASFシリーズはHTTPフィルター機能をサポートします。HTTPフィルター機能は、HTTPプロトコル特性(要求メソッド、ヘッダー、URL、Cookieなど)に基づいてHTTPパケットをフィルターし、顧客のWebアプリケーションに対して深いプロトコルコンプライアンスまたはセキュリティコンプライアンスチェックを実行できます。
- ASFシリーズは、HTTP Viaヘッダーマスキング、応答ヘッダーの削除、Cookieセキュリティ設定、Cookie改ざん防御、セッションハイジャック防御、エラーページのカスタマイズ、URLの検出とモニタリングなどの高度な防御オプションを提供します。
- ASFシリーズは、ブルートフォース防御機能をサポートしています。これにより、顧客のWebサイトがブルートフォース攻撃から効果的に保護されます。
Web Anti-Defacement
ASFシリーズは、保護されたWebページファイルをリアルタイムで監視し、ページコンテンツをキャッシュできるWeb Anti-defacement(WAD)機能を提供します。
ASFシリーズは、Webページの改ざんを検出すると、Webサイトから返された改ざんされたWebページを通常のページに自動的に復元し、パブリックイメージを保護します。
Automatic Learning and Dynamic Profiling
ASFシリーズは、通常のトラフィックの特性に基づいてポジティブホワイトリストを生成できるポジティブWAF機能を提供します。
管理者は、指定された間隔で、または増分学習ログカウントの数が指定されたしきい値に達したときに、ポジティブホワイトリストを自動的に生成するようにアプライアンスを設定できます。
ASFシリーズは、トラフィックのベースライン学習機能を提供します。
有効にすると、アプライアンスは防御オブジェクトのトラフィックベースラインを自動的に学習し、学習結果に基づく自動DDoSプロファイルの動的更新をサポートします。
これにより、手動による介入が減るだけでなく、防御の精度が向上します。
Appliction Security Visibility
- 攻撃の再生と監査を容易にするために、豊富なイベントログを提供します。
- WAF攻撃ログ、WAF監査ログ、HTTPアクセスログを提供します。 DDoS警告ログ、DDoS攻撃ログ、HTTPフィルターログ
- 管理者に対する監査を容易にするための管理者監査ログのサポート。
- セキュリティイベントログのエクスポートのサポート。
- きめ細かく直感的なグラフィックモニタリングを提供します。
- CPU使用率、RAM使用率、ディスク使用率、スループットなどのシステムステータスの表示。
- 攻撃の統計情報を表示し、重大度の分布、攻撃の種類、攻撃元、攻撃元の地域などをカバーします。
- 異なるプロトコルのトラフィックの詳細な統計を含む、サービストラフィック統計の表示。
- ドロップ理由統計を含むパケットドロップ統計の表示。
- TopNアクセスURL、クライアントIPなどを含むサービスアクセス統計の表示。
- 必要な監視グラフを追加することにより、カスタム監視ページをサポートします。
- 監視グラフの手動エクスポートおよび監視レポートの定期的な生成のサポート。
- 1回限りまたは定期的な詳細レポートの生成をサポートします。
- サポートシステムステータスレポート、アプリケーションセキュリティステータスレポート、PCI DSSコンプライアンスレポートなど。
High Availability
ASFシリーズは、アプリケーションのオンライン時間を最大化し、アプリケーションサービスの高可用性を保証する複数の高可用性オプションを提供します。
- クラスタリング機能は、ルーティングモードで展開された2つまたは複数のASFアプライアンスに高速フェイルオーバーを提供します。 ASFアプライアンスは、アクティブ-スタンバイモードまたはアクティブ-アクティブモードで動作できます。
- 冗長ソリューションで展開されたネットワーク環境では、管理者は外部HAソリューションを使用して、ブリッジ透過モードまたはプロキシモードで展開されたASFアプライアンスにトラフィックの高可用性を提供できます。
- ソフトウェアおよびハードウェアバイパス機能により、ブリッジ透過モードで展開されたASFアプライアンスの障害(ソフトウェアおよびハードウェア障害など)によって引き起こされるトラフィックの中断を回避できます。
- ASFアプライアンスがパス外TAPモードで展開されている場合、アプライアンスの障害はサービスの中断につながりません。
Management and Integration
ASFシリーズは導入が簡単で、直感的なWebユーザーインターフェイスと操作が簡単なコマンドラインインターフェイスを構成管理に提供します。 ネットワーク管理者は、管理ツールを使用して、システムパラメータのステータスを表示し、サービスを有効にして、XML-RPCテクノロジーを採用することで構成の自動化を実装できます。 拡張可能なAPIインターフェイスを採用することで、管理者はシステム管理をサードパーティの監視および管理システムと統合できます。
クラウドでのアプリケーションセキュリティの導入と管理の要件を満たすために、アレイのeCloud RESTful APIは、アレイデバイスを管理および監視し、クラウドオペレーティングシステムとアレイDDoS軽減を実行する仮想マシン間の相互作用を支援するためのクラウド管理システム用のスクリプトレベルのインターフェースを提供します。
Physical and Virtual Appliances
専用のASFシリーズアプライアンスは、マルチコアアーキテクチャ、SSD、ソフトウェアまたはハードウェアSSLおよび圧縮、エネルギー効率の高いコンポーネント、および10 GigEまたは40 GigEを活用して、スケーラブルなアプリケーションセキュリティ向けに設計されたソリューションを作成します。
アレイのAVXシリーズネットワーク機能プラットフォームで実行されていても、一般的なハイパーバイザーで実行されていても、vASF仮想アプライアンスは、仮想環境の柔軟性の恩恵を求める組織に最適です。
最小限のリスクと先行投資で、インフラストラクチャサービスと新しい柔軟なビジネスモデルを提供したり、アレイアプリケーションのセキュリティファイアウォールを評価したりできます。