AWS WAFとImperva ThreatRadarによるIPレピュテーション #reinvent

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWS WAFの更新作業

AWS WAFがリリースされたことに伴いまして、ニュースが飛び込んできました。ImpervaによるIPデータベースとの連携についてです。弊社スタッフがAWS WAFを調査したところ、出た意見として、「IPを手で登録して更新管理するのはツライ」でした。たしかに、インターネット上の危険は固定されたものではなく、常に新しいリスクが出てきていますので、最新の状態に保つことが必要かと思います。

危険な地域からアクセスや、過去に悪さをしたIPアドレスなどは、ブロックしたいので、これを誰が管理・更新するかが課題となります。Impervaでは、Incapsulaというクラウド型のWAFサービスや、Imperva SecureSphere WAFというAWS Marketplaceでも提供されているProxy型のWAF製品があります。どちらも、信頼できるIPからのアクセスかどうかを評価する、IPレピュテーションを行なっています。

ThreatRadar

Imperva ThreatRadarは、Imperva社が提供するIPレピュテーションを行うサービスです。ThreatRadar Reputation Servicesで提供している機能について製品ホームページに記載がありましたのでご紹介したいと思います。

ThreatRadar Reputation Services 仕様

仕様 概要
悪意ある攻撃源
  • 頻繁に Web サイトを攻撃している悪意ある IP アドレス
  • 匿名プロキシ・サーバー
  • TORネットワーク
悪意ある URL
  • フィッシング URL
アクセス・コントロールとフォレンジック調査
  • 送信元IP のGeoロケーション
  • 送信元 IP のレピュテーション
ThreatRadar サーバーへの通信
  • ThreatRadarクラウド・サーバー、管理サーバ(MX)と SecureSphere ゲートウェイ間の通信を SSL 暗号化
セキュリティ・フィードの更新
  • フィード・タイプと設定によって、ほぼリアルタイムから 1 日 1 回の頻度で継続的に更新
データ・フィード元
  • 悪意ある攻撃源の商業的および非商業的な提供者
  • フィッシング URL の提供者
  • Geoロケーション・データの提供者
  • Imperva Application Defense Center (ADC) が、悪意ある攻撃源を提供し、フィードを評価および検証することで、グローバルな信頼性の高い IP リストを維持
SecureSphere との統合
  • 事前定義済み/カスタム SecureSphere セキュリティ・ ポリシー
  • SNMP
  • Syslog
  • メール
  • インシデント管理のチケット・システムとの統合
  • カスタム・アクション追跡
  • Pre-defined and custom graphical reports
  • リアルタイム・ダッシュボード
対応製品
  • SecureSphere Web Application Firewall

これらの機能一覧を見ると、ThreatRadar Reputation Servicesが、評価の低いIPアドレスのデータベース(毎日更新)を提供し、とSecureSphere Web Application Firewallが実際のブロックや管理コンソールを提供しているように見えます。

このことから、AWS WAFが分散配置されたWAFサービスとして機能し、ThreatRadar Reputation Servicesが、評価の低いIPアドレスのデータベース(毎日更新)を提供するという役割分担になると思います。もしかしたら、SecureSphere Web Application Firewallとの連携も視野に入っているかもしれませんね。

本記事は全体的に予想であり、実際にどのような機能や連携が提供されるかは分かりませんのでご注意ください。

Imperva ThreatRadar for AWS WAF

Impervaのブログでは以下の画像が掲載されていました。ThreatRadar Reputation ServicesとAWS WAFのブリッジとして、「ThreatRadar AMI」が配置されています。おそらく、これはAWS Marketplaceで時間課金の提供となるのではと思います。ThreatRadar AMIで、更新管理したいAWS WAFのIDを指定して質の高いIPレピュテーションを実現できるはずです。SQL Injectionのルールなども提供してくれるととてもありがたいですね。

screenshot 2015-10-07 5.13.56

まとめ

AWS WAFが出た時、キタコレ!と思った方は多いかと思います。しかし、安価でスケーラブルなことを売りとしているAWSではありますが、専門業者が持っているノウハウを全て最初から実現するのは困難かと思います。AWSが取ったアクションは、様々なセキュリティ事業者が自社のノウハウ部分を切り出してAWS WAFに適応できるビジネスの可能性を用意しました。また、利用者には、安価でスケーラブルな基本サービスに加えて、セキュリティの強化や選択肢を用意しました。これらが、従量課金で提供されるということで、セキュリティがより身近になってくるかと思います。

参考資料

Imperva ThreatRadar for AWS WAF

ThreatRadar Reputation Services