Fastly を利用した web アプリケーションファイアウォール(WAF):FAQ
Adobe Commerce Managed Cloud WAF(Fastly を活用)はどのように機能しますか?
Web アプリケーションファイアウォール(WAF)は、一連のセキュリティルールに対してトラフィックをフィルタリングすることで、 悪意のあるトラフィック がサイトやネットワークに入るのを防ぎます。 いずれかの規則をトリガーするトラフィックは、サイトやネットワークに損害を与える前にブロックされます。
Adobe Commerceの cloud WAFは、Adobe Commerce web アプリケーションを様々な攻撃から保護するように設計されたルールセットを含むWAF ポリシーを提供します。
WAFは、web トラフィックと管理トラフィックを調べて、疑わしいアクティビティを特定します。 GETと POST トラフィック(HTTP API 呼び出し)を評価し、ルールセットを適用してどのトラフィックをブロックするかを決定します。 WAFは、SQL インジェクション攻撃、クロスサイトスクリプティング攻撃、データ除外攻撃、HTTP プロトコル違反など、様々な攻撃をブロックできます。
WAFはクラウドベースのサービスで、インストールやメンテナンスのためのハードウェアやソフトウェアは必要ありません。 既存のテクノロジーパートナーである Fastly は、ソフトウェアと専門知識を提供します。 高性能で常時稼動のWAFは、Fastly のグローバル配信ネットワークの各キャッシュノードに常駐します。
WAFはクラウド版のお客様であれば誰でも利用できますか?
はい。Cloud WAF サービスは、Adobe Commerce on cloud infrastructure Starter プランアーキテクチャおよびAdobe Commerce on cloud infrastructure Pro プランアーキテクチャプランの両方について、Adobe Commerce on cloud infrastructure サブスクリプションに追加費用なしで含まれます。 WAF サービスは、実稼動環境とステージング環境で使用できます。
WAFは PCI DSS 6.6 の要件に準拠していますか。
はい。
Adobe Commerce クラウドインフラストラクチャアカウントで複数のドメインのサイトを管理している場合、WAF プロファイルはドメインごとに調整されますか。それとも、すべてのドメインについてまとめて調整しますか。
WAFは、1 つの Cloud アカウントですべてのドメインに対して一括して調整されます。
WAFにはどのようなルールが使用されますか?
クラウドインフラストラクチャ実稼動環境でAdobe Commerceに適用されるWAF プロファイルのルールセットは、OWASP Top 10 Threat Protection ルールセットに基づいています。このルールセットには、web サービスに対する一般的な不正利用が説明されています。 また、TrustWave SpiderLabs で開発されたAdobe Commerce固有のルールも含まれています。 Fastly のセキュリティ研究チームは、一般的に知られている攻撃からサイトとネットワークを保護するルールも追加しました:不正な IP アドレス、不正なユーザーエージェント、既知のボットネットコマンドとコントロールノード。 OWASPパラノイアレベル 3 以下のルールを有効にし、高いセキュリティ範囲を提供します。
ログにアクセスするにはどうすればよいですか?
ログをログツールに送信するには、テクニカルアカウントマネージャー(TAM)と協力して、Fastly にログエンドポイントを追加してください。
ブロックリクエストはどうなっていますか。
ブロックされたリクエストは、リクエスト識別子を持つ 403 ページを返します。
カスタマイズにリクエスト識別子が含まれている限り、このページをカスタマイズできます。 詳しくは、テクニカルアカウントマネージャーにお問い合わせください。
WAFのルールセットを更新するには WAFのルールを変更または更新し、実稼動環境にグローバルに適用するには、どれくらいの時間がかかりますか?
Fastly は、Cloud WAF サービスの一部として、商用サードパーティ、Fastly リサーチ、オープンソースからのルールのアップデートを管理しています。 必要に応じて、またはルールの変更がそれぞれのソースから使用可能な場合に、公開されたルールをポリシーに更新します。 ルールの公開済みクラスに一致する新しいルールも、有効にすると任意のサービスのWAF インスタンスに挿入されます。 これにより、新しい攻撃や進化する攻撃に迅速に対応できます。 情報 ルールの更新とメンテナンスについて は、Fastly ドキュメントサイトで確認できます。
Adobe Commerceの Cloud WAFは、Fastly が直接顧客に提供するWAF ソリューションとどう違いますか?
Fastly が直接販売するWAF ソリューションは、ルールのカスタマイズやマルウェア対策など、より広範なルールセットや追加機能を含む有料のソリューションです。 Adobe Commerceの cloud WAF ソリューションには、Adobe Commerce アプリケーションをターゲットとしたルールのサブセットが含まれており、顧客の実稼動環境ごとに 1 つのルールセットのみが含まれます。
WAFはどのような種類のセキュリティ上の脅威から保護しますか?
その他の機能も提供されていますか。
Adobe CommerceのWAF製品には、PCI 要件の一部としてOWASP Top-10 の脅威に対する保護、24 時間 365 日のサポート(誤検出のトリアージを含む)、バージョンのアップグレードが含まれています。 次の機能は標準のオファーではサポートされていません。
- レート制限
- ルールのカスタマイズ
- ボットの軽減
- マルウェア対策
WAFによるサイトパフォーマンスへの影響
キャッシュされていない要求ごとに、推定 1.5 ミリ秒(ms) ~ 20 ミリ秒の待ち時間が発生します。
お客様は、IP ブラックリストを作成および変更してトラフィックをブロックすることはできますか。
はい。お客様は、クラウドインフラストラクチャの管理 UI 上のAdobe Commerceから、国およびアクセス制御リスト(ACL)別のブロックを有効にすることができます。 これらの機能は、特定の国または特定の IP または IP 範囲からの訪問者に対するアクセスをブロックする場合に使用します。 ブロックされた訪問者にエラーコードではなくカスタムページを表示したい場合は、Fastly 設定メニューのHTMLをアップロードして、カスタムエラーページを作成できます。 開発者向けドキュメントの カスタムエラー/メンテナンスページの作成 を参照してください。
WAF サービスの運用ステータスはどこで確認できますか?
WAF サービスの全体的な可用性は、Fastly ステータスページ に報告されます。 個々のお客様のWAFの可用性レポートは提供されていません。
Adobe CommerceはWAF サービスのインシデント管理を提供しますか?
現時点では、インシデント管理は提供されていません。
Adobe Commerceにはセキュリティオペレーションセンターがありますか?
Adobe Commerceにはセキュリティオペレーションセンターがありませんが、適切な人材を採用してセキュリティインシデントにリアルタイムで対応できるセキュリティオペレーションプロセスを用意しています。 2035 年 7 月 24 日のサポートも提供しています。
また、Adobe Commerce関連のセキュリティニュースや最新情報を セキュリティセンター から取得することもできます。
どのようなサポートがありますか?
WAF サポートでは、不要なリクエストや悪意のあるリクエストによるサービスへの影響を軽減するために、次のリソースを提供しています。
- オンボーディング:Adobe Commerce Managed Cloud WAFをサポートする Fastly サービスの有効化、初期設定、制限付き監視
- WAFで正規のトラフィックがブロックされるインスタンスに対応するために、継続的に偽陽性のトリアージを行う
- WAF バージョンのアップグレードの一環として導入された新しい標準規則の設定
重要度の定義、応答時間、チャネル、可用性など、その他のサポート情報については、Cloud SLA の用語を参照してください。
WAFが正当なトラフィックをブロックしている場合や、その他の問題を引き起こしている場合は、どうすればよいですか?
2}Adobe Commerce ヘルプセンター で サポートチケットを送信 } します。 チケットがWAF サービスに関連することを示し、ブロックされたリクエスト識別子(ID)を含めてください。
Adobe Commerceのサポートチケット発行システムは、アドビのサポートエンジニアとお客様の担当者とのコミュニケーションをトラッキングします。 チケットの更新に合わせて、お客様やAdobe Commerceのスタッフにメールを送信し、お知らせのタイムスタンプ付きトランスクリプトを提供します。
オンラインで送信されたすべてのインシデントについては、Adobe Commerceのカスタマーヘルプセンターのチケット発行システムを通じてインシデントの受領が確認されます。 適切に提出されたインシデントを受け取った場合、サポートサービスは、上記の優先度レベルに従って優先されるものとします。
次の表に、WAF サポートのサポートチャネルと利用可能性の概要を示します。
* Adobe Commerceのフリーダイヤルのサポート電話回線は、優先度 1 のインシデントにのみ予約されています。 優先度 1 以外の呼び出しがあると、問題に対する全体的な応答が遅くなります
偽陽性はどのようにトリアージされますか。
偽陽性のトリアージプロセス(24 時間 365 日利用可能)を使用して、正当なリクエストがWAF ルールをトリガーしたインスタンスに迅速に対処し、解決します。 偽陽性のイベントは、優先度 1 の問題として扱われます。 デフォルトのアクションとして、アドビのサポートチームは、WAF ポリシーを直ちに更新して、ブロッキングイベントをトリガーしたルールを無効にし、正当なリクエストがWAFを通過できるようにします。
クラウドインフラストラクチャのサイトトリガーWAF ルールでAdobe Commerceの「管理者」セクションへのトラフィックが発生した場合 Adobe Commerce サポートは、管理者トラフィックのブロックに関する問題を解決しますか?
はい、ブロックされた管理者トラフィックは優先度 1 の問題として扱われます。