セキュリティの現場から from バラクーダラボ(120) WAFでリバースプロキシ構成を行うメリットを再確認してみましょう

Barracuda Web Application Firewall（WAF）でリバースプロキシ構成を行うことにより、アプリケーションのカスタムコードをすべて保護できるだけでなく、アプリケーションフレームワーク、ミドルウェア、プロトコル、OSスタック、CMSなど、サードパーティソフトウェアを保護するさまざまな機能を利用できます。バラクーダネットワークスは、アプリケーションレイヤセキュリティやパフォーマンス向上など、リバースプロキシが実現するメリットを紹介するホワイトペーパーを提供しています。そして今日のブログでは、リバースプロキシアーキテクチャのさまざまな利点の中から、サードパーティソフトウェアのセキュリティ保護についてお話しします。

現在のデータセンターでは、レガシーサーバやソフトウェアが複雑に絡み合っています。ゼロデイ脆弱性が発生した場合には、間違いなくパニックに陥ることでしょう。ベンダ各社に連絡してホットフィックスを入手する（ただし、ベンダの最優先課題はセキュリティではありません）という作業は、非常に手間がかかり面倒です。迅速な対応が得られない場合には、ビジネスにダウンタイムが発生するリスクに甘んじるか、執拗なゼロデイ攻撃に対して無防備な状態になるか、という選択肢しかありません。

Barracuda Web Application Firewallをリバースプロキシ構成で稼働すると、脆弱なサードパーティサーバスタックをゼロデイ攻撃からブロックすることができます。さらには、WAFが一元管理ポイントとして機能し、あらゆるゼロデイ脆弱性に対して素早く対処できるのです。次の図は、WAFの特徴をまとめています。

SSLスタック： 最近、SSLを標的にした攻撃が次々と発生しています。たとえば、脆弱なブロック暗号方式を無効にするBEAST攻撃、SSL圧縮を無効にするCRIME攻撃、Cookieのセキュリティ確保とCSRF防止が必要なPadding Oracle攻撃、SSLネゴシエーション攻撃、Lucky 13攻撃などがあります。そして、このようなSSL攻撃の元がHeartbleed SSL攻撃であり、OpenSSLの一部のバージョンに対する攻撃が先月発生しました。

スノーデン氏の事件とPRISM暴露事件の後、セキュリティに対する不安が広がり、暗号方式をPFS（Perfect Forward Secrecy）へと移行するユーザが増えています。しかし多くのサーバベンダは、PFSに対応していません。対応に長い期間を要する理由の1つは、SSLソフトウェアには多くのサービスが緊密に連携し、容易にアップグレードできないからです。また、セキュリティはサーバベンダの最優先事項ではないという点も、対応を遅らせる原因になっています。

［IPSやスパンポートWAFなどのパッシブセキュリティシステムでは、PFSはまったく機能しない]

バラクーダネットワークスは、さまざまなSSL攻撃対策をすでに提供しており、脅威の自動フィード機能によって、迅速に修正を適用できます。ベンダの対応やOSS修正のリリースを待つ必要がなく、サーバに侵入されることもなくなります。

プログラミングフレームワーク： PHP／Perlのデフォルトのインストール環境には、さまざまな脆弱性が存在することが知られています。PHP Hash Collision（ハッシュ衝突）攻撃は、PHPハッシュテーブルの衝突を悪用したWebアプリケーションのDoS攻撃です。Ruby on Railsフレームワークでは、SQLインジェクションに対する脆弱性が発見されました。

Webサーバ： インターネットにはWebサーバが多数存在するので、格好の攻撃対象になっています。IISでは最近、複数の脆弱性が見つかっています。Apacheは、RangeヘッダのDoS攻撃やSlowlorisなどの攻撃を受けています。Apache Strutsは2013年に何回か攻撃を受けていますが、今年になってからは、リモートコマンド実行やDoS攻撃に加えて、Classloaderを操作される脆弱性が発見されています。

CMS（コンテンツ管理システム）： WordPressやJoomlaなどのCMSシステムは、特定のアドオンを悪用した攻撃や直接的な攻撃に幾度となくさらされています。さらに、Googleハッキングを使用すれば、脆弱なCMSバージョンを簡単に検索できます。

SOAフレームワーク： SOAフレームワークにもHTTPと同じ脆弱性がありますが、XMLとSOAPプロトコルを悪用した攻撃の標的となります。XPathインジェクションやXMLパーサのDoS攻撃などが発生していますが、SOAフレームワークのベンダは、中核的な開発プロセスにおいてセキュリティ機能を盛り込むことにはあまり重点を置いていません。

ネットワークプロトコル： TCPスタックは成熟度の高いスタックであるにも関わらず、TCPタイムスタンプDoSやスプーフィングRST DoSなどの攻撃の標的になる脆弱性が存在します。

サードパーティ製品の脆弱性以外にも攻撃経路はあります。APIは見逃されがちですが、新しい攻撃経路になっています。

リッチAPI： 現在、APIは増え続け、クラウド中心の環境が普及していく中、APIの重要性はアプリケーションそのものよりも高まりつつあります。ただし、APIのセキュリティについては誰にも当事者意識はなく、他人任せであるのが実状です。SnapchatのAPIに存在する脆弱性により、何百万ものユーザ名と電話番号が流出しました。Disqusでも、APIで同様のデータ流出が発生しています。さらに困ったことに、APIはカスタムコードなのでセキュリティアップデートは存在しないのです。

上記のコンポーネントはすべて広く普及していますが、脆弱性が攻撃されるまで、セキュリティ保護の重要性に誰も気付きません。セキュリティ担当者はSDLCにセキュリティ機能を導入しますが、あくまでもカスタムコードが対象であり、基盤となるフレームワークは「安全だ」という思い込みがあるのでそのセキュリティには無関心です。

今日はサードパーティソフトウェアに存在する脆弱性をいくつかご紹介しましたが、Barracuda Web Application Firewallならば簡単に対応できるものばかりです。ほとんどの脆弱性の対策はすでに講じられていますし、新しい攻撃については優れた実績を誇るカスタマサービスとサポートで即座に対応します。

※本内容はBarracuda Product Blog 2014年5月9日Benefits of a Reverse Proxy WAF - Revisitedを翻訳したものです。