これまで企業ユーザは、認証済みのデバイス(主にラップトップ)から企業ネットワークに「トンネル経由でアクセス」し、ドメインに参加していました。ところが現在では、デスクトップコンピューティングに代わって、モバイルとクラウドコンピューティングが普及しています。新たなBYODの世界では、トンネルは重視されません。IT部門の管理から外れているデバイスは信頼できないアプリケーションを多用している可能性がありますから、ドメインへの参加を許可できませんし、VPNトンネル経由でのネットワークへのアクセスも許可できません。
「ドメイン」という用語は、「ワークプレースジョイン(社内参加)」や「フェデレーションサービス」へとシフトしています。ADFSがあれば、複数のセキュリティドメインでのIDフェデレーション、シングルサインオン、条件付きアクセス制御といった使用事例に対応できます。ADFSサービスではこれまで、インターネット接続する無数のモバイルプラットフォームをサポートするには、HTTPを使用するプロトコルを使用するしかありませんでした。このHTTPフレンドリーなプロトコルには、SAMLやWS-Fedといったものがあります。
こういったアクセス制御サービスの「ウェブ化」は、2つの影響をもたらしました。まず、ADFSは誰もがインターネット上で使えるアプリケーションになり、よく知られたURLで利用できるHTTPベースのWebアプリケーションの1つになりました。さらに、ADFSはADに直接リンクする重要なアクセス制御サービスであるため、攻撃者にとって魅力的な標的になってしまいました。
Microsoftはこの点を認識しており、ADFSの公開にはWeb Application Proxy(WAP)などのリバースプロキシを使用することを強く推奨しています。バラクーダネットワークスが先頃発行したホワイトペーパーでは、安全な方法でADFSを公開する方法を解説しています。ホワイトペーパーでは、ADFSやMicrosoftのその他のアプリケーションの発行に必要となるWAPの代替/アドオンソリューションとして、Barracuda Web Application Firewallが威力を発揮する理由を説明しています。2015年、次に示すMicrosoftセキュリティ情報MS15-062が公開されています。ここからも、バラクーダネットワークスのソリューションの優れた価値がおわかりいただけるでしょう。MS15-062:Active Directoryフェデレーションサービスの脆弱性により、特権が昇格される:
「この脆弱性により、攻撃者が特別に細工したURLを標的のサイトに送信した場合、特権が昇格される可能性があります。特別に細工されたスクリプトが適切にサニタイズされないことがあり、攻撃者が提供したスクリプトがWebサイトで悪意のあるコンテンツを閲覧するユーザのセキュリティコンテキストで実行される可能性があります。」
このアップデートには重要度として「重要」が割り当てられ、影響を受けるオペレーティングシステムとしてWindows Server 2008、2008 R2、2012が確認されています。攻撃がHTTPトラフィックに埋め込まれた場合、WAPで対抗することはできません。したがって、DMZに実装されているゲートキーパーがWAPのみの環境では、ADFSサービスは「OWASP Top 10」に掲載されている攻撃に対して無抵抗だということになります。
Microsoftが何年にもわたって取り組んできたセキュリティプラクティスの強化は賞賛に値しますが、広く普及しているという点で最も標的になりやすいプラットフォームであることは確かです。次のグラフ(cvedetails)は、Windows Server 2008の脆弱性の変化を示しています(WAPとADFSはWindows Serverのロールです)。
Barracuda Web Application Firewallは優れた実績を誇るリバースプロキシソリューションです。重要度の高い攻撃対象を保護するだけでなく、次のような機能を備えています。
- HTTPおよびHTTPSトラフィックを狙ったWebベースの攻撃への対処
- ADFSなどのWebアプリケーションを狙ったアプリケーション層のDDoS攻撃への対処
- SAMLを使ったADFS(およびAzure AD)サービスとの相互運用性(Techlibの記事を参照)
- 認証オフロード、パススルー事前認証、パススルー認証の各種オプション
- Windows Serverインフラストラクチャでの既知/未知の脆弱性に対抗できるセキュリティ強化アプライアンス
- 負荷分散と高可用性を1つのアプライアンスに融合
- ADFSサーバインフラストラクチャのネットワーク分離
- Webアプリケーションの選択的な公開
また、調達などオンプレミスで行うプロセスの煩雑さや手間を軽減することを目的に、ADFSをクラウドに導入するお客様も増えています。Barracuda WAFはAzureおよびAWS Marketplaceでも提供され、上記の機能をすべてクラウド環境で実現します。
バラクーダネットワークスは、Microsoft Azureセキュリティソリューションプロバイダとして認定された業界初にして唯一のベンダーです。Microsoft Azure認定を取得したバラクーダネットワークスのソリューションは、Microsoft Azureパブリッククラウド、Cloud OS Networkに参加するサービスプロバイダがホスティングするMicrosoft Cloud Platform、オンプレミスのプライベートクラウドであるWindows Server Hyper-V環境においてテスト済みです。
Microsoft Azure認定は、バラクーダネットワークスのユーザに次のようなメリットをもたらします。
- 製品の導入にかかる時間を50~80%短縮
- 導入作業を90%まで簡素化
- 導入に必要な帯域幅をほぼゼロにまで低減
- バラクーダネットワークスが現在および将来提供するMicrosoft Azure製品が導入時に評価版と購入済みライセンスの両方に対応
Microsoft Pinpointでバラクーダネットワークスが紹介されています。
※本内容はBarracuda Product Blog 2015年6月24日Addressing the Perils of ADFS Publishing with the Barracuda Web Application Firewallを翻訳したものです。
Neeraj Khandelwal
本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』7月15日付の記事の転載です。