クラウド型WAFサービス導入の注意点
近年クラウド型のWAF(Web Application Firewall)サービスが急増しています。クラウド型のWAFを利用することで既存のシステムへの影響を最小限にでき、導入までのプロセスが少ないのが利点です。
DNS誘導型の場合、現在のグローバルipとFQDNの紐付けをWAFで利用するIPに切り替えるだけで導入でき、各通信は切り替えた名前解決に従ってWAFを経由してWebサーバにアクセスされるため、正常な通信を装った攻撃はWAFによりブロックされます。
導入が容易でランニング費用も高くないため利用が増えてきていますが、導入にあたり注意点があります。
【クラウド型WAF導入時の注意点】
WAFでSSLを終端/解析するため、スループットが低下する可能性があります。無料体験版などを利用し、スループットが実運用に耐えられるレベルか確認が必要です。
公的な署名を持つサーバ証明書が必要で、証明書にも指定がある場合があります。
WAFサービスによってはWAF側が冗長構成をとっているため、SSL証明書がFQDN×2必要な場合があります。
クライアント証明書による認証を行うWebサイトには、利用出来ない場合が多いです。
http(80),https(443)以外のサービスは利用できません。ftpやsshなど同一ドメインで他のサービスを利用する場合、http,https以外は利用できなくなる可能性があります。利用する場合は別ドメインを取得するか、ipアドレスを直接指定する必要があります。
実際のWebサーバに対しては送信元ipがWAFになるため、送信元ipを利用した負荷分散は出来なくなります。また、送信元ipに対する同時アクセス数を制限している場合も解除する必要があります。
FW等で送信元ipをWAFのみにすればセキュリティは向上しますが、WAF障害時にメンテナンス等のログインが困難になります。