AWS WAFとImperva ThreatRadarによるIPレピュテーション #reinvent
AWS WAFの更新作業
AWS WAFがリリースされたことに伴いまして、ニュースが飛び込んできました。ImpervaによるIPデータベースとの連携についてです。弊社スタッフがAWS WAFを調査したところ、出た意見として、「IPを手で登録して更新管理するのはツライ」でした。たしかに、インターネット上の危険は固定されたものではなく、常に新しいリスクが出てきていますので、最新の状態に保つことが必要かと思います。
危険な地域からアクセスや、過去に悪さをしたIPアドレスなどは、ブロックしたいので、これを誰が管理・更新するかが課題となります。Impervaでは、Incapsulaというクラウド型のWAFサービスや、Imperva SecureSphere WAFというAWS Marketplaceでも提供されているProxy型のWAF製品があります。どちらも、信頼できるIPからのアクセスかどうかを評価する、IPレピュテーションを行なっています。
ThreatRadar
Imperva ThreatRadarは、Imperva社が提供するIPレピュテーションを行うサービスです。ThreatRadar Reputation Servicesで提供している機能について製品ホームページに記載がありましたのでご紹介したいと思います。
ThreatRadar Reputation Services 仕様
| 仕様 | 概要 |
|---|---|
| 悪意ある攻撃源 |
|
| 悪意ある URL |
|
| アクセス・コントロールとフォレンジック調査 |
|
| ThreatRadar サーバーへの通信 |
|
| セキュリティ・フィードの更新 |
|
| データ・フィード元 |
|
| SecureSphere との統合 |
|
| 対応製品 |
|
これらの機能一覧を見ると、ThreatRadar Reputation Servicesが、評価の低いIPアドレスのデータベース(毎日更新)を提供し、とSecureSphere Web Application Firewallが実際のブロックや管理コンソールを提供しているように見えます。
このことから、AWS WAFが分散配置されたWAFサービスとして機能し、ThreatRadar Reputation Servicesが、評価の低いIPアドレスのデータベース(毎日更新)を提供するという役割分担になると思います。もしかしたら、SecureSphere Web Application Firewallとの連携も視野に入っているかもしれませんね。
本記事は全体的に予想であり、実際にどのような機能や連携が提供されるかは分かりませんのでご注意ください。
Imperva ThreatRadar for AWS WAF
Impervaのブログでは以下の画像が掲載されていました。ThreatRadar Reputation ServicesとAWS WAFのブリッジとして、「ThreatRadar AMI」が配置されています。おそらく、これはAWS Marketplaceで時間課金の提供となるのではと思います。ThreatRadar AMIで、更新管理したいAWS WAFのIDを指定して質の高いIPレピュテーションを実現できるはずです。SQL Injectionのルールなども提供してくれるととてもありがたいですね。
まとめ
AWS WAFが出た時、キタコレ!と思った方は多いかと思います。しかし、安価でスケーラブルなことを売りとしているAWSではありますが、専門業者が持っているノウハウを全て最初から実現するのは困難かと思います。AWSが取ったアクションは、様々なセキュリティ事業者が自社のノウハウ部分を切り出してAWS WAFに適応できるビジネスの可能性を用意しました。また、利用者には、安価でスケーラブルな基本サービスに加えて、セキュリティの強化や選択肢を用意しました。これらが、従量課金で提供されるということで、セキュリティがより身近になってくるかと思います。
