Next-Gen WAF のデプロイについて
- English
- 日本語
Next-Gen WAF をデプロイするには、次の方法で Next-Gen WAF プロダクトをリクエストフローに統合する必要があります。
デプロイ方法を選択します。デプロイ方法は、統合のセットアップ方法を概説します。すべてのデプロイの方法は、同じアーキテクチャコンポーネントに依存していますが、ホストの場所 (Fastly の Edge Cloud Platform や顧客のローカル環境など) やアクティブなデプロイを維持する当事者が異なります。
ヒント : 複数のデプロイ方法を使用することができます。たとえば、Fastly コンテンツ配信ネットワークの背後にある Web アプリケーションを保護するためにエッジ WAF デプロイ方式を使用し、その他の Web アプリケーションにはオンプレミス WAF デプロイ方式を使用することができます。
選択したデプロイ方法に適したガイドに従って、デプロイを設定します。
(オプション) 攻撃ツールを使用して、Next-Gen WAF が Web アプリケーションを監視し、悪意のある異常なリクエストを識別していることを確認します。
設定前の注意点
Next-Gen WAF は アカウント単位でご購入いただけます。sales@fastly.com までご連絡いただければ、ご購入後、Fastly のスタッフが、お客様がログインした際にご利用いただける Next-Gen WAF 企業 (アカウント) と少なくとも1つのサイト (ワークスペース) を作成します。
デプロイ方法の選択
Fastly のデプロイ方法における主な違いは、デプロイの場所とデプロイの保守責任者です。
| デプロイ方法 | 場所 | Fastly 管理型 | 顧客管理型 | |
| エッジ WAF | Fastly のグローバルな POP ネットワークを通じて提供される Edge Cloud Platform | ✔ | ||
| オンプレミス WAF | 顧客のローカル環境 | ✔ | ||
| PaaS | サポートされているベンダープラットフォーム | ✔ | ||
| A10 ネットワークス | A10 ネットワークス | ✔ | ||
| クラウド WAF | Fastly のクラウドインフラストラクチャ | ✔ |
エッジ WAF デプロイについて
エッジ WAF デプロイ方式では、Fastly のグローバルネットワーク上の POP を介して Next-Gen WAF を Fastly のEdge Cloud Platform 上にホストし、Fastly のキャッシュレイヤーである Varnish と統合します。セキュリティ処理はエッジで行われるため、Next-Gen WAF はオリジンインフラストラクチャに入る前にすべてのトラフィックを検査し、攻撃が発生した場所の近くでブロックできます。以下のシーケンス図は、エッジ WAF のリクエストフローを示しています。エッジ WAF の仕組みについては、「エッジ WAF の仕組み」ガイドで詳しく説明しています。このオプションを利用するには、Fastly の配信アカウントが必要です。
オンプレミス WAF のデプロイについて
オンプレミス WAF (旧称 Core WAF) デプロイ方式では、Next-Gen WAF をローカル環境に直接ホストします。つまり、デプロイの管理はお客様の責任となります。オリジンコアにデプロイすることで、オリジンインフラストラクチャに到達するまでのあらゆるパスのトラフィックを検査できます。つまり、クライアントオリジン内のある内部サーバーから別のサーバーにホップする東西トラフィックを検査できるということです。
この方法には、モジュール-エージェント型とリバースプロキシ型の2つがあります。
| デプロイオプション | インストール必須のコンポーネント | 考慮事項 |
| モジュール-エージェント型 |
|
|
| リバースプロキシ | Next-Gen WAF エージェント |
|
- トラフィック管理レイヤーを持つモジュール-エージェント
- アプリケーションレイヤーを持つモジュール-エージェント
- リバースプロキシ
以下のシーケンス図は、モジュールが Web サーバーのプラグインとして存在する場合の、モジュール-エージェント型デプロイのリクエストフローを示しています。
Kubernetes のデプロイパターンについて
オンプレミス WAF デプロイ方式は、Kubernetes の複数のデプロイパターンをサポートしています。Next-Gen WAF を Kubernetes で動作させるには、設定をカスタマイズする必要があります。Fastly のドキュメントでは、Docker サイドカーコンテナパターンを使用する Kubernetes デプロイのいくつかの例を紹介しています。
Platform as a Service (PaaS) のデプロイについて
選択したプラットフォームに Next-Gen WAF エージェントを組み込むことで、サポートしているベンダーのプラットフォーム内に Next-Gen WAF プロダクトをデプロイできます。下のシーケンス図は、PaaS デプロイのリクエストフローを示しています。
注 : Fastly サービスは、そのように設定した場合にのみ、Fastly 以外のサービスと相互運用できます。当社は Fastly 以外のサービスに対する直接的なサポートを提供しておりません。Fastly 以外サービスとの連携を可能にするソフトウェアやサービス (プラグイン、拡張機能、アドオンなど) は、それぞれの利用規約に基づいて利用できます。詳細は Fastly's Terms of Service をご参照ください。
A10 ネットワークスでの組み込みサービスのデプロイについて
重要 : このデプロイオプションは、有効化のために A10 機能ライセンスが必要です。
Next-Gen WAF は、A10 ネットワークスを組み込んだサービスとして、特定の A10 Thunder および vThunder アプリケーション・デリバリー・コントローラー (ADC) フォームファクターにデプロイ可能です。A10 ネットワークスは A10 のデプロイをサポートしています。A10 アプリケーション・デリバリー・コントローラー (ADC) Next-Gen WAF のデプロイオプションの詳細については、Fastly のアカウントマネージャーにご連絡いただくか、営業チームにメールでお問い合わせください。
注 : Fastly サービスは、そのように設定した場合にのみ、Fastly 以外のサービスと相互運用できます。当社は Fastly 以外のサービスに対する直接的なサポートを提供しておりません。Fastly 以外サービスとの連携を可能にするソフトウェアやサービス (プラグイン、拡張機能、アドオンなど) は、それぞれの利用規約に基づいて利用できます。詳細は Fastly's Terms of Service をご参照ください。
クラウド WAF のデプロイについて
重要 :Next-Gen WAFコンソールにアクセスできるNext-Gen WAFの顧客のみがこのソリューションを利用できます。
クラウド WAF デプロイ方式は、Fastly のクラウドインフラストラクチャ上で Next-Gen WAF をホストし、複数のクラウド WAF インスタンスで構成されます。各インスタンスはロードバランサーと少なくとも3つの Next-Gen WAF エージェントで構成されており、それぞれリバースプロキシモードで動作し、別々の冗長マシンにインストールされています。下のシーケンス図は、クラウド WAF デプロイのリクエストフローを示しています。
クラウド WAF のデプロイ方法を使用するには、トランスポート・レイヤー・セキュリティ証明書をアップロードし、Next-Gen WAF コンソールを使用してオリジンサーバーを追加し、適切なサーバーを指すように DNS レコードを更新する必要があります。
次のステップ
デプロイの設定後、Next-Gen WAF はすぐに Webサイトへのトラフィックの監視を開始し、悪意のある異常なペイロードを含むリクエストを検出し、リクエストデータを、Next-Gen WAF へのアクセスに使用するコンソールに入力します。正規のトラフィックがブロックされないように、Next-Gen WAF は最初はすべてのリクエストを許可します。
悪意のあるトラフィックをブロックするには、エージェントモード (保護モード) の設定を Blocking に設定します。また、ルールを作成して Web サイトの保護を調整し、Next-Gen WAF が適切なトラフィックをブロックまたは許可するようにすることもできます。
