Firewall機能を強化中です
ーコラムー
2020年8月26日号
CloudflareのFirewall関連機能が拡充されています。アクセス制御に関して、以前はIPアドレス、国、AS番号を元にしたポリシーのみ具備していましたが、現在はレイヤー7で検知できるFirewall Rulesという機能が追加されています。IPアドレス、国、AS番号に加え、ホスト名、Cookie、User-Agent、URI Query Stringなど複数項目の複合条件でルールにマッチさせ、アクションを取ることが出来ます。
各条件は、AndやOrで結ぶことが出来ます。 また、マッチした際にとるアクションは、許可、不許可だけでなく、JS Challenge(JavaScriptのチャレンジを送信)、Challenge(CAPTCHAを出す)、Bypass(WAFなど特定のセキュリティ機能をバイパスする)などが選択可能です。
このFirewall Rule機能を使うことで、例えば以下のようなことが可能になります。
- ●特定の国からのアクセスは原則ブロックするが、特定のIPアドレスからのトラフィックは例外的に許可する
- ●User-Agentが特定の値だった場合のみWAFの検知を無効化する
WAF機能にCustom Ruleという機能があり、ユーザ特有の攻撃シグネチャーを定義できる機能がありますが、シンプルな要件の場合、上記のFirewall Ruleで実装できます。 また、Cloudflare社ではFirewall Ruleの機能をさらに強化することでWAFのCustom Ruleはなくす方向で開発を進めています。 Custom RuleはCloudflare社へ依頼する必要があり、提供まで最大で3日間かかりますがFirewallならユーザ自身で設定できるため、追加すべき要件や新しい脅威に迅速に対応することが出来ます。 Firewall Ruleがリリースされる前に導入されたお客様も早速この機能を使い始めているようです。 こういった柔軟な機能があるサービスを選定しておくと運用中に発生する要件に対応しやすく、重宝します。
執筆者:角田 貴寛
三井情報株式会社
ソリューション技術本部 次世代基盤第二技術部 第一技術室
CISSP、CEH
現在、セキュリティ関連調査研究・教育業務に従事