Microsoftは2017年3月30日(現地時間)、Microsoft Azure上のWebアプリケーションを外部からのサイバー攻撃から保護する「Azure Web Application Firewall(WAF)」がGA(一般提供版)に達したと、公式ブログで報告している。WAFはアプリケーション層にあたるネットワーク層レイヤー7に位置し、ロードバランサー側でSSL認証を行うSSL Terminationなどの機能を提供する。保護対象は以下のとおりだ。
・SQLインジェクション
・XSS(クロスサイトスクリプティング)
・コマンドインジェクションなどの一般的な攻撃
・HTTPプロトコル違反
・HTTPプロトコル異常
・ロボットやクローラー、スキャナー
・Apacheなどの構成ミスによる攻撃
・HTTPサービス拒否
特にアプリケーションのセキュリティ的不備を利用し、想定しないクエリを実行させることでデータベースを不正操作する「SQLインジェクション」や、動的Webページに含まれる脆弱性を狙った「クロスサイトスクリプティング」の保護は重要である。Webアプリケーションで使用するOSS(オープンソースソフトウェア)で脆弱性が発見され、セキュリティホールを塞ぐまでの間、WAFによって保護できるからだ。WAFは複数のWebアプリケーションを同時に保護し、1つのゲートウェイから最大20までのWebサイトをサポートする。
WAFは「Azure Monitor」を通じてアラートを追跡し、サイバー攻撃に対するWebアプリケーションを監視する機能を提供する。JSON形式でログファイルを保存するため、Azure上もしくは他のソリューションにも利用できるだろう。
また、WAFはAzure Security Centerと統合し、サービスの脆弱性スキャンなどによって検出した問題の解決方法を提示する。なお、IT管理者の必要に応じて、不審な着信トラフィックの検出からブロックするモード設定や、ルールグループをカスタマイズし、特定の防御を無効にすることも可能。WAFはOSSであるOWASPのCRS(コードルールセット)を使用しており、利用者はバージョン2.2.9もしくは3.0を選択できる。