Next-Gen WAF のデプロイについて
- English
- 日本語
Next-Gen WAF をデプロイするには、次の方法で Next-Gen WAF プロダクトをリクエストフローに統合する必要があります。
デプロイ方法の選択。デプロイ方法は、統合のセットアップ方法を概説します。すべてのデプロイの方法は、同じアーキテクチャコンポーネントに依存していますが、ホストの場所 (Fastly の Edge Cloud Platform と顧客のローカル環境など) やアクティブなデプロイを維持する当事者が異なります。
ヒント : 複数のデプロイ方法を使用することができます。たとえば、Fastly コンテンツ配信ネットワークの背後にある Web アプリケーションを保護するためにエッジ WAF デプロイメソッドを使用し、その他の Web アプリケーションにはオンプレミス WAF デプロイメソッドを使用することができます。
選択したデプロイ方法に適したガイドに従って、デプロイを設定します。
(オプション) 攻撃ツールを使用して、Next-Gen WAF が Web アプリケーションを監視し、悪意のある異常なリクエストを識別していることを確認します。
設定前の注意点
Next-Gen WAF は sales@fastly.com までご連絡いただければ、アカウント単位でご購入いただけます。ご購入後、当社のスタッフが、お客様がログインした際にご利用いただける Next-Gen WAF corp (アカウント) と少なくとも1つのサイト (ワークスペース) を作成します。
デプロイ方法の選択
当社のデプロイ方法における主な違いは、デプロイの場所とデプロイの保守責任者です。
| デプロイ方法 | ロケーション | Fastly マネージド | 顧客管理型 | |
| エッジ WAF | Fastly の Edge Cloud platform は、当社のグローバルな POP ネットワークを通じて提供されています | ✔ | ||
| オンプレミス WAF | 顧客のローカル環境 | ✔ | ||
| PaaS | サポートされているベンダープラットフォーム | ✔ | ||
| A10 ネットワーク | A10 ネットワークス | ✔ | ||
| クラウド WAF | Fastly のクラウドインフラストラクチャ | ✔ |
エッジ WAF デプロイについて
エッジ WAF デプロイメソッド では、Fastly のグローバルネットワーク上の POP を介して Next-Gen WAF を Fastly のEdge Cloud Platform 上にホストし、Fastly のキャッシュレイヤーである Varnish と統合します。セキュリティ処理はエッジで行われるため、Next-Gen WAF はオリジンのインフラストラクチャに入る前にすべてのトラフィックを検査し、攻撃が発生した場所の近くで攻撃をブロックできます。以下のシーケンス図は、エッジ WAF のリクエストフローを示しています。エッジ WAF の仕組みについては、「エッジ WAF の仕組み」ガイドで詳しく説明しています。このオプションを利用するには、Fastly の配信アカウントが必要です。
オンプレミス WAF のデプロイについて
オンプレミス WAF(旧称 Core WAF)のデプロイ方法では、Next-Gen WAF をローカル環境に直接ホストします。つまり、デプロイの管理はお客様の責任となります。オリジンコアにデプロイすることで、オリジンインフラストラクチャに到達するまでのあらゆるパスのトラフィックを検査できます。つまり、クライアントオリジン内のある内部サーバーから別のサーバーにホップする東西トラフィックを検査できるということです。
この方法には、モジュールエージェントとリバースプロキシの両方のデプロイオプションがあります。
| デプロイオプション | インストール必須のコンポーネント | 考慮事項 |
| モジュール + エージェント |
|
|
| リバースプロキシ | Next-Gen WAF エージェント |
|
- トラフィック管理レイヤーを持つモジュールエージェント
- アプリケーションレイヤーを持つモジュールエージェント
- リバースプロキシ
以下のシーケンス図は、モジュールが Web サーバーのプラグインとして存在する場合の、モジュールエージェントのデプロイのリクエストフローを示しています。
Kubernetes のデプロイパターンについて
オンプレミス WAF のデプロイメソッドは、Kubernetes の複数のデプロイパターンをサポートしています。Next-Gen WAF を Kubernetes で動作させるには、設定をカスタマイズする必要があります。当社のドキュメントでは、Docker サイドカーコンテナパターンを使用する Kubernetes デプロイのいくつかの例を紹介しています。
Platform as a Service (PaaS) のデプロイについて
選択したプラットフォームにNext-Gen WAFエージェントを組み込むことで、サポートしているベンダーのプラットフォーム内にNext-Gen WAFプロダクトをデプロイできます。下のシーケンス図は、PaaSデプロイのリクエストフローを示しています。
注 :
Fastly サービスは、そのように設定した場合にのみ、Fastly 以外のサービスと相互運用できます。当社は Fastly 以外のサービスに対する直接的なサポートを提供しておりません。Fastly 以外サービスとの連携を可能にするソフトウェアやサービス (プラグイン、拡張機能、アドオンなど) は、それぞれの利用規約に基づいて利用できます。詳細は Fastly's Terms of Service をご参照ください。
A10 ネットワークでの組み込みサービスのデプロイについて
重要: このデプロイオプションは、有効化のためにA10機能ライセンスが必要です。
Next-Gen WAF は、A10 Networks を組み込んだ Service として、特定の A10 Thunder および vThunder アプリケーション・デリバリー・コントローラー (ADC) フォームファクターにデプロイ可能です。A10 Networks は A10 のデプロイをサポートしています。A10 アプリケーション・デリバリー・コントローラー (ADC) Next-Gen WAF のデプロイオプションにの詳細については、Fastly のアカウントマネージャーにご連絡いただくか、営業チームにメールでお問い合わせください。
注 :
Fastly サービスは、そのように設定した場合にのみ、Fastly 以外のサービスと相互運用できます。当社は Fastly 以外のサービスに対する直接的なサポートを提供しておりません。Fastly 以外サービスとの連携を可能にするソフトウェアやサービス (プラグイン、拡張機能、アドオンなど) は、それぞれの利用規約に基づいて利用できます。詳細は Fastly's Terms of Service をご参照ください。
クラウド WAF のデプロイについて
重要 :
Next-Gen WAFコンソールにアクセスできるNext-Gen WAFの顧客のみがこのソリューションを利用できます。
クラウド WAF のデプロイメソッドは、Fastly のクラウドインフラストラクチャ上で Next-Gen WAF をホストし、複数のクラウド WAF インスタンスで構成されます。各インスタンスはロードバランサーと少なくとも3台の Next-Gen WAF エージェントで構成されており、それぞれリバースプロキシモードで動作し、別々の冗長マシンにインストールされています。下のシーケンス図は、クラウド WAF デプロイのリクエストフローを示しています。
Cloud WAF のデプロイ方法を使用するには、トランスポート・レイヤー・セキュリティ証明書をアップロードし、Next-Gen WAF コンソールを使用してオリジンサーバーを追加し、適切なサーバーを指すように DNS レコードを更新する必要があります。
次のステップ
デプロイの設定後、Next-Gen WAF はすぐに Webサイトへのトラフィックの監視を開始し、悪意のある異常なペイロードを含むリクエストを検出し、リクエストデータを Next-Gen WAF コンソールに入力します。正規のトラフィックがブロックされないように、Next-Gen WAF は最初はすべてのリクエストを許可します。
悪意のあるトラフィックをブロックするには、エージェントモード (保護モード) の設定を Blocking に設定します。また、ルールを作成して Web サイトの保護を調整し、Next-Gen WAF が適切なトラフィックをブロックまたは許可するようにすることもできます。
