Azure Application Gateway のアクセスログで DDos攻撃 を検知

こんにちわ。
「開發案件」や「検証/開發」など、皆様のIMEを狂わせてる開發(@mamikaihatsu)です。

この記事は「NEXTSCAPE クラウドインテグレーション事業本部 Advent Calendar 2018」の14日目です。


IaaSやPaaSに限らず、Webサービスを運用するにあたり
サイバー攻撃をどう検知し、防ぐかが重要になります。

以前の記事でも記載しましたが、Azure Application GatewayのWAFを利用すると、
SQLインジェクション攻撃やクロス サイト スクリプティング攻撃などを防ぐことが出来ます。
DDos攻撃については、Azure DDoS Protection Basic はWAFがVNetに配置されるため自動で適用されますが、
Basic を Standard に変更しないと、DDos攻撃から保護はされません。

では、Standardに変更すればいいのでは?って思いますよね。
金額が結構・・お高いのです。
そこで今回、Basic のままでどこまで出来るかを試してみました。
Basicのままで、なるべくDDos攻撃を防ぎたい。そんな方はご参考にしてください。

下記の内容になります。
・DDoS攻撃をどう検知するか
・攻撃を防ぐにはどうすればよいか


Read More

Azure Web Apps で WAF(Azure Application Gateway) がサポートされたのでやってみた

こんにちは。
コンサルティング & テクノロジー部 の Azureチームの 開發です。

先月、部の定例時にApplicationGatewayのMSドキュメントのFAQを確認していると・・

  

6月に見た時には「現時点では、Azure Web Apps はサポートされていません。」と記載されていたのが
Azure Web Apps などのマルチテナント バックエンドで構成できます。」ってなってるやん・・!

これは、WebApps で WAF(Application Gateway)が使えるようになった事を意味しています。

記載ミスじゃないよね?っと思い、AzurePowerShellのUpdate情報を調べたことろ
Azure PowerShell v4.2.0 リリースから Azure Application Gateway が Azure Web Apps のサポートが追加されていました!

こういう需要の多かったであろうものは、もっと大きく扱ってほしいものですねー。

今まで Application Gatewayのバックエンドプールとして
仮想マシンや、パブリック IP、内部 IP、完全修飾ドメイン名 (FQDN)が対応していましたが
Web Apps はサポートされていませんでした。

ですので、Azure Web AppsでWAFを構築する場合、下記の2点のどちらかの方法になっていたかと思います。

・方法1[ASE]: Azure App Service Environmentの中にAzure Web Apps を作成(料金が月額10万以上...)
・方法2[ModSecuriy]: オープンソースのModSecurityを利用。(別途ルールを追加する必要...) 

そして、今回のアップデートで

・方法3[ApplicationGateway]: Application GatewayのWAF機能で連携(詳細は後述します)

が可能となりました。簡単に導入できるようになったのです!

では早速、既存のWEBアプリケーションの環境(WebApps)にWAFを追加してみましょう。


Read More

ネクストスケープ企業サイトへ

NEXTSCAPE

検索する

タグ

メタデータ

投稿のRSS