Fastly を利用した web アプリケーションファイアウォール(WAF):FAQ
- トピック:
- キャッシュ
Adobe Commerce Managed Cloud WAF (Fastly を活用)はどのように機能しますか?
Web アプリケーションファイアウォール(WAF)は、一連のセキュリティルールに対してトラフィックをフィルタリングすることで、 悪意のあるトラフィックがサイトやネットワークに入るのを防ぎます。 いずれかの規則をトリガーするトラフィックは、サイトやネットワークに損害を与える前にブロックされます。
Adobe Commerceの Cloud WAF は、Adobe Commerce web アプリケーションを様々な攻撃から保護するように設計されたルールセットを含む WAF ポリシーを提供します。
WAF は、Web および管理トラフィックを調べて、疑わしいアクティビティを特定します。 GETとPOSTトラフィック(HTTP API 呼び出し)を評価し、ルールセットを適用して、ブロックするトラフィックを決定します。 WAF は、SQL インジェクション攻撃、クロスサイトスクリプティング攻撃、データ除外攻撃、HTTP プロトコル違反など、様々な攻撃をブロックできます。
WAF はクラウドベースのサービスで、インストールや保守にハードウェアやソフトウェアを必要としません。 既存のテクノロジーパートナーである Fastly は、ソフトウェアと専門知識を提供します。 高性能で常時稼動の WAF は、Fastly のグローバル配信ネットワークの各キャッシュノードに常駐します。
WAF はすべてのクラウド顧客が使用できますか?
はい。Cloud WAF サービスは、Adobe Commerce on cloud infrastructure Starter プランアーキテクチャおよびAdobe Commerce on cloud infrastructure Pro プランアーキテクチャプランの両方について、Adobe Commerce on cloud infrastructure サブスクリプションに追加料金なしで含まれています。 WAF サービスは、実稼動環境とステージング環境で使用できます。
WAF は PCI DSS 6.6 の要件に準拠していますか。
はい。
Adobe Commerce クラウドインフラストラクチャアカウントで複数のドメイン上のサイトを管理している場合、WAF プロファイルはドメインごとに調整されますか。それとも、すべてのドメインについてまとめて調整されますか。
WAF は、1 つのクラウドアカウント下のすべてのドメインに対してまとめて調整されます。
WAF にはどのようなルールが使用されますか?
クラウドインフラストラクチャ実稼動環境でAdobe Commerceに適用される WAF プロファイルのルールセットは、OWASP Top 10 Threat Protection ルールセットに基づいています。このルールセットでは、web サービスに対する一般的な不正利用について説明しています。 また、TrustWave SpiderLabs で開発されたAdobe Commerce固有のルールも含まれています。 Fastly のセキュリティ研究チームは、一般的に知られている攻撃からサイトとネットワークを保護するルールも追加しました:不正な IP アドレス、不正なユーザーエージェント、既知のボットネットコマンドとコントロールノード。 OWASP Paranoia Level 3 以下のルールを有効にし、高いセキュリティを提供します。
ログにアクセスするにはどうすればよいですか?
ログをログツールに送信するには、テクニカルアカウントマネージャー(TAM)と協力して、Fastly にログエンドポイントを追加してください。
ブロックリクエストはどうなっていますか。
ブロックされたリクエストは、リクエスト識別子を持つ 403 ページを返します。
カスタマイズにリクエスト識別子が含まれている限り、このページをカスタマイズできます。 詳しくは、テクニカルアカウントマネージャーにお問い合わせください。
WAF ルールセットを更新するにはどうすればよいですか? WAF ルールを変更または更新して、実稼動環境にグローバルに適用するには、どの程度の時間がかかりますか?
Fastly は、クラウド WAF サービスの一部として、商用サードパーティ、Fastly のリサーチ、オープンソースからのルール更新を管理しています。 必要に応じて、またはルールの変更がそれぞれのソースから使用可能な場合に、公開されたルールをポリシーに更新します。 ルールの公開済みクラスに一致する新しいルールも、有効にすると任意のサービスの WAF インスタンスに挿入されます。 これにより、新しい攻撃や進化する攻撃に迅速に対応できます。 情報 ルールの更新とメンテナンスについては、Fastly ドキュメントサイトで確認できます。
Adobe Commerceの Cloud WAF は、Fastly が直接顧客に提供する WAF ソリューションとどう違いますか?
Fastly が直接販売する WAF ソリューションは、ルールのカスタマイズやマルウェア対策など、より広範なルールセットや追加機能を含む有料のソリューションです。 Adobe Commerceの Cloud WAF ソリューションには、Adobe Commerce アプリケーションをターゲットとしたルールのサブセットが含まれており、顧客の実稼動環境ごとに 1 つのルールセットのみが含まれます。
WAF はどのような種類のセキュリティ脅威に対して保護していますか?
| 脅威 | WAF 保護 |
|---|---|
| SQL インジェクション攻撃 | OWASP ModSecurity のコア ルール セットと TrustWave の商用ルール セットの両方に、SQL 挿入攻撃とそのバリアントに対する特定のフィルタが含まれています。 |
| クロスサイト注射 | OWASP ルールセットは、クロスサイト挿入攻撃から保護します。 Fastly では、クロスサイト挿入や接触チャネルに対するその他の脅威を探すリクエストごとに、スコアリングメカニズムを活用します。 すべてのリクエストにコアルールセット全体に対してスコアを付け、リクエストのスコアが設定可能なしきい値を下回っていることを検証してリクエストを合格させます。 |
| ブルートフォース攻撃 | OWASP ルール・セットでカバーされます。 また、Fastly は、特定のソース、リクエスト、または元のデータセンターにトラフィックが到達する前にセキュリティ制御をブルートフォースまたは圧倒しようとする試みを認識する VCL コードを使用して、ブルートフォースアクティビティをブロックします。 |
| ネットワーク攻撃 | ネットワーク攻撃、またはネットワークインフラストラクチャをターゲットとする攻撃は、Fastly によって自動的に管理されます。 Fastly は DNS をオリジンに渡さず、狭い HTTP、HTTPS、DNS プロファイルに一致しないトラフィックはネットワークのエッジで破棄されます。 制御プロトコルを標的とする攻撃は、ネットワーク全体のエンドポイントの認証を通じて防御されます。 さらに、Fastly ネットワーク内で使用されるネットワークプロトコルは、増幅やリフレクションの手段として利用できないように強化されています。 お客様には、CDN サービスのコンポーネントとしてお客様に公開されている Fastly キャッシュ IP アドレス空間を活用して、Fastly ネットワークを迂回する攻撃から保護する責任があります。 バイパス攻撃でこれらのアドレスをターゲットとして使用できないように、発信元 IP アドレス空間をパブリック DNS で公開しないことをお勧めします。 |
| JavaScript注射攻撃 | WAF ルールは、悪意のあるJavaScript コードが web サービスとのクライアント通信に挿入されるのを防ぎます。 一般的なエクスプロイトパターンやスコアは、接触チャネルサービスの整合性を確保するために WAF でフィルタリングされます。 |
その他の機能も提供されていますか。
Adobe Commerceの WAF 製品には、PCI 要件の一環として OWASP Top-10 の脅威に対する防御、24 時間 365 日のサポート(誤検出のトリアージを含む)、およびバージョンのアップグレードが含まれます。 次の機能は標準のオファーではサポートされていません。
- レート制限
- ルールのカスタマイズ
- ボットの軽減
- マルウェア対策
WAF によるサイトのパフォーマンスへの影響
キャッシュされていない要求ごとに、推定 1.5 ミリ秒(ms) ~ 20 ミリ秒の待ち時間が発生します。
お客様は、IP ブラックリストを作成および変更してトラフィックをブロックすることはできますか。
はい。お客様は、クラウドインフラストラクチャの管理 UI 上のAdobe Commerceから、国およびアクセス制御リスト(ACL)別のブロックを有効にすることができます。 これらの機能は、特定の国または特定の IP または IP 範囲からの訪問者に対するアクセスをブロックする場合に使用します。 ブロックされた訪問者にエラーコードではなくカスタムページを表示したい場合は、Fastly 設定メニューでHTMLをアップロードすることで、カスタムエラーページを作成できます。 開発者向けドキュメントの カスタムエラー/メンテナンスページの作成を参照してください。
WAF サービスの運用状況はどこで確認できますか?
WAF サービスの全体的な可用性は、Fastly ステータスページで報告されます。 個々のお客様の WAF の可用性レポートは提供されていません。
Adobe Commerceは WAF サービスのインシデント管理を提供しますか?
現時点では、インシデント管理は提供されていません。
Adobe Commerceにはセキュリティオペレーションセンターがありますか?
Adobe Commerceにはセキュリティオペレーションセンターがありませんが、適切な人材を採用してセキュリティインシデントにリアルタイムで対応できるセキュリティオペレーションプロセスを用意しています。 2035 年 7 月 24 日のサポートも提供しています。
また、Adobe Commerce関連のセキュリティニュースや最新情報を セキュリティセンターから取得することもできます。
どのようなサポートがありますか?
WAF サポートでは、不要なリクエストや悪意のあるリクエストによるサービスへの影響を軽減するために、次のリソースを提供しています。
- オンボーディング:Adobe Commerce Managed Cloud WAF をサポートする Fastly サービスの有効化、初期設定、制限付き監視
- WAF が正当なトラフィックをブロックするインスタンスに対処するために継続的に行われる偽陽性のトリアージ
- WAF バージョンのアップグレードの一環として導入された新しい標準ルールの設定
重要度の定義、応答時間、チャネル、可用性など、追加のサポート情報については、 クラウド SLA の用語を参照してください。
WAF が正規のトラフィックをブロックしている場合、またはその他の問題を引き起こしている場合、どうすればサポートを受けられますか。
2}Adobe Commerce ヘルプセンターで 🔗 サポートチケットを送信 } します。 チケットが WAF サービスに関連することを示し、ブロックされたリクエスト識別子(ID)を含めてください。
Adobe Commerceのサポートチケット発行システムは、アドビのサポートエンジニアとお客様の担当者とのコミュニケーションをトラッキングします。 チケットの更新に合わせて、お客様やAdobe Commerceのスタッフにメールを送信し、お知らせのタイムスタンプ付きトランスクリプトを提供します。
オンラインで送信されたすべてのインシデントについては、Adobe Commerceのカスタマーヘルプセンターのチケット発行システムを通じてインシデントの受領が確認されます。 適切に提出されたインシデントを受け取った場合、サポートサービスは、上記の優先度レベルに従って優先されるものとします。
次の表に、WAF サポートのサポートチャネルと可用性の概要を示します。
* Adobe Commerceのフリーダイヤルのサポート電話回線は、優先度 1 のインシデントにのみ予約されています。 優先度 1 以外の呼び出しがあると、問題に対する全体的な応答が遅くなります
偽陽性はどのようにトリアージされますか。
正規のリクエストによって WAF ルールがトリガーされたインスタンスに迅速に対処して解決するために、偽陽性のトリアージプロセス(24 時間 365 日利用可能)を用意しています。 偽陽性のイベントは、優先度 1 の問題として扱われます。 デフォルトのアクションとして、アドビのサポートチームは WAF ポリシーを直ちに更新して、ブロッキングイベントをトリガーしたルールを無効にし、正当なリクエストが WAF を通過できるようにします。
クラウドインフラストラクチャのサイトトリガーWAF ルールでAdobe Commerceの「管理者」セクションへのトラフィックが発生した場合 Adobe Commerce サポートは、管理者トラフィックのブロックに関する問題を解決しますか?
はい、ブロックされた管理者トラフィックは優先度 1 の問題として扱われます。