概要 - AEM web サイトの保護
AEM as a Cloud Service の web アプリケーションファイアウォール(WAF) ルールのサブカテゴリを含む トラフィックフィルタールール を使用して、AEM web サイトをサービス拒否(DoS)攻撃、分散型サービス拒否(DDoS)攻撃、悪意のあるトラフィック、高度な攻撃から保護する方法について説明します。
また、標準トラフィックフィルタールールと WAF トラフィックフィルタールールの違い、使用するタイミング、アドビの推奨されるルールの使用を開始する方法についても説明します。
AEM as a Cloud Service のトラフィックセキュリティの概要
AEM as a Cloud Service では、統合された CDN レイヤーを活用して、web サイトの配信を保護および最適化します。CDN レイヤーの最も重要なコンポーネントの 1 つは、トラフィックルールを定義および適用する機能です。これらのルールは、パフォーマンスを犠牲にすることなく、不正使用、誤用、攻撃からサイトを保護するための保護シールドとして機能します。
トラフィックセキュリティは、稼動時間を維持し、機密性の高いデータを保護し、正当なユーザーに対してシームレスなエクスペリエンスを提供するために不可欠です。AEM では、次の 2 つのカテゴリのセキュリティルールを提供します。
- 標準トラフィックフィルタールール
- Web アプリケーションファイアウォール(WAF)トラフィックフィルタールール
ルールセットは、一般的な web 脅威と高度な web 脅威を防御し、悪意のあるクライアントや不正なクライアントからのノイズを削減し、リクエストのログ記録、ブロック、パターン検出を通じて確認性を向上させるのに役立ちます。
標準および WAF トラフィックフィルタールールの違い
log モードで開始し、block モードに移行しますATTACK-FROM-BAD-IP WAF フラグを block モード、ATTACK WAF フラグを log モードで開始し、両方を block モードに移行しますwafFlags を使用して YAML で定義し、Cloud Manager 設定パイプライン経由でデプロイします標準トラフィックフィルタールールは、レート制限や特定の地域のブロックなどのビジネス固有のポリシーの適用と、IPアドレス、パス、ユーザーエージェントなどのリクエストのプロパティおよびヘッダーに基づくトラフィックのブロックに役立ちます。
一方、WAF トラフィックフィルタールールは、既知の web 悪用や攻撃ベクトルに対する包括的でプロアクティブな保護を提供し、誤検知(例:正当なトラフィックのブロック)を制限する高度なインテリジェンスを備えています。
両方のタイプのルールを定義するには、YAML 構文を使用します。詳しくは、トラフィックフィルタールールの構文を参照してください。
使用するタイミングと理由
標準トラフィックフィルタールール は、次の場合に使用します。
- IP レートスロットルなど、組織固有の制限を適用する必要がある。
- フィルタリングが必要な特定のパターン(例:悪意のある IP アドレス、地域、ヘッダー)を認識している。
WAF トラフィックフィルタールール は、次の場合に使用します。
- エキスパーのデータソースから収集された既知の悪意のある IP だけでなく、広い既知の攻撃パターン(例:インジェクション、プロトコルの不正使用)から、包括的で プロアクティブな保護 が必要である。
- 正当なトラフィックをブロックする可能性を制限しながら、悪意のあるリクエストを拒否する必要がある。
- シンプルな設定ルールを適用して、一般的な脅威と高度な脅威に対する防御にかかる労力を制限する必要がある。
これらのルールを組み合わせることで、AEM as a Cloud Service のお客様がデジタルプロパティのセキュリティを確保するためにプロアクティブとリアクティブの両方の対策を講じることができる多層防御戦略が実現します。
アドビの推奨されるルール
アドビでは、AEM サイトをすばやく保護できるように、標準トラフィックフィルタールールと WAF トラフィックフィルタールールの推奨されるルールを提供します。
-
標準トラフィックフィルタールール(デフォルトで使用可能):CDN エッジ、接触チャネル または制裁対象国からのトラフィックに対する DoS 攻撃、DDoS 攻撃、ボット攻撃などの一般的な不正使用シナリオに対処します。
以下に例を示します。- CDN エッジ で 1 秒あたり 500 件を超えるリクエストを行う IP のレート制限
- 接触チャネル で 1 秒あたり 100 件を超えるリクエストを行う IP のレート制限
- 米国財務省外国資産管理室(OFAC)がリストした国からのトラフィックのブロック
-
WAF トラフィックフィルタールール(アドオンライセンスが必要):SQL インジェクション、クロスサイトスクリプティング(XSS)、他の web アプリケーション攻撃など、OWASP 上位 10 件の脅威を含む高度な脅威に対する追加の保護を提供します。
以下に例を示します。- 既知の不正な IP アドレスからのリクエストのブロック
- 攻撃としてフラグ付けされた疑わしいリクエストのログ記録またはブロック
今すぐ始める
次の設定ガイドとユースケースに従って、AEM as a Cloud Service でトラフィックフィルタールール(WAF ルールを含む)を定義、デプロイ、テスト、分析する方法について説明します。これにより、アドビの推奨されるルールを自信を持って適用するための背景知識が得られます。
アドビの推奨されるルール設定ガイド
このガイドでは、AEM as a Cloud Service 環境でアドビの推奨される標準トラフィックフィルタールールと WAF トラフィックフィルタールールを設定およびデプロイするための手順について段階的に説明します。
標準トラフィックフィルタールールを使用したAEM web サイトの保護
AEM as a Cloud Service でアドビの推奨される標準トラフィックフィルタールールを使用して、AEM web サイトを DoS 攻撃、DDoS 攻撃、ボットの不正使用から保護する方法について説明します。
AEM as a Cloud Service でアドビの推奨される web アプリケーションファイアウォール(WAF)トラフィックフィルタールールを使用して、DoS 攻撃、DDoS 攻撃、ボットの不正使用などの高度な脅威から AEM web サイトを保護する方法について説明します。
高度なユースケース
より高度なシナリオについて詳しくは、特定のビジネス要件に基づいてカスタムトラフィックフィルタールールを実装する方法を示す次のユースケースを参照してください。
