エージェントの利用開始
- English
- 日本語
Next-Gen WAF エージェント (旧称 Signal Sciences エージェント) は、アーキテクチャコンポーネントです。お客様のアクティブルールとしきい値設定を使用して、リクエストの処理方法 (許可またはブロックなど) を決定し、クラウドエンジンと通信します。Next-Gen WAF モジュールのコンポーネントが存在しないデプロイでは、エージェントは、分析中に行われた決定の実行など、モジュールの責任も担います。
すべての Next-Gen WAF デプロイメソッドはエージェントコンポーネントを使用しますが、オンプレミス WAF デプロイ (つまり、モジュールエージェントまたはリバースプロキシデプロイ) の場合のみ、コンポーネントのインストールと管理が必要です。Fastly はエッジ WAF とクラウド WAFのデプロイを管理します。
エージェントのインストール
オンプレミス WAF デプロイのエージェントをインストールするには、次の手順を実行してください。
ご使用のオペレーティングシステムに応じたエージェントのインストール手順に従ってください。
(オプション) 環境に合わせてエージェントを設定します。
(オプション) 次の場合に通知するエージェントアラートを設定します。
オンラインエージェントの数が指定されたしきい値に達したとき。
すべてのサイト(ワークスペース) のすべてのエージェントの1秒あたりの平均リクエスト数 (RPS) が、指定したしきい値に達したとき。
エージェントのアップグレード
エージェントのサポート終了ポリシーに従い、2年未満のエージェントバージョンをサポートします。四半期ごとに、2年以上前のエージェントバージョンは廃止され、サポートも終了します。エージェントを新しいバージョンにアップグレードするには、以下の方法があります。
手動でエージェントをアップグレードしてから再起動します。
エージェント自動更新サービスを有効にします。エージェント自動更新サービスは、定期的に新しいバージョンのエージェントをチェックし、新しいバージョンが利用可能になるとエージェントを更新します。
エージェント設定管理システムの使用
エージェントは、さまざまな設定管理システム (Chef、Puppet、Ansible など) を介して管理できます。設定管理システムを使用するには、エージェント設定ファイル (通常は agent.conf) を作成または展開するか、環境変数を使用します。設定する数値のリストについては、当社の エージェントの設定ガイドをご覧ください。
エージェントの起動時の行動
エージェントが起動すると、実行中の環境を判断し、その環境に最適化するために、1つ以上のアドレスに HTTP リクエストを送信します。アドレスは次の通りです。
http://169.254.169.254/latest/api/tokenhttp://169.254.169.254/latest/meta-data/instance-typehttp://metadata.google.internal/computeMetadata/v1/instance/machine-typehttp://169.254.169.254/metadata/instance/compute/vmSize
エージェントの信頼性
パフォーマンスを最適化し、信頼性を向上させるために、Next-Gen WAF のアーキテクチャはエージェントとモジュールに分かれています。エージェントに問題が発生し、応答できなくなっても、設定された制限時間内にエージェントからの応答がない場合はモジュールがフェイルオープンになるため、アプリケーションは動作し続けます。デフォルトのタイムアウトはモジュールの種類によって異なり、次のようになります。
| モジュール | タイムアウト |
| Windows IIS | 200ミリ秒 |
| .NET | 200ミリ秒 |
| .NET Core | 200ミリ秒 |
| その他のすべてのモジュール | 100ミリ秒 |
エージェントがクラウドエンジンと通信できなくなった場合でも、エージェントは以下の注意事項を伴いながら引き続き機能します。
通信障害発生時においても、エージェントは攻撃や異常、およびローカル設定に基づくカスタムルールやシグナルの検知を継続します。
エージェントは既存のブロック決定を引き続き適用します。
オンプレミス WAF およびクラウド WAF のデプロイでは、エージェントのローカルカウンターが、設定制限 (攻撃しきい値、サイトアラート (シグナルしきい値)、Advanced Rate Limiting ルールなど) にカウントされるリクエストを引き続き集計します。複数のエージェントがデプロイされている場合、通信が再開されるまで集計は行われません。
エージェントはリクエスト Log をキューに入れず、コンソールにデータ障害が表示されます。接続が再確立されるまで、個々のリクエストや集計データを確認する機能は失われます。
エージェントは、新たな検出や執行決定に関する更新情報を受信しません。
エージェントは更新された地理位置情報データを受信しません。
しきい値のカウント
オンプレミス WAF とクラウド WAF のデプロイでは、エージェントにはローカルカウンターがあり、リクエストが攻撃しきい値、サイトアラート (シグナルしきい値)、または高度なレート制限ルールに違反したときに即座に判断することができます。複数のエージェントがデプロイされている場合、エージェントはクラウドエンジンからの集計を使用します。
エッジ WAF のデプロイにおけるしきい値カウントの仕組みについては、エッジ WAF の仕組みを参照してください。
エージェント言語
エージェントは Go で記述されています。Go を選んだのは、パフォーマンス、デプロイのしやすさ、メモリの安全性の保証を兼ね備えているからです。さらに、Go にはC/C++ に関連するセキュリティ問題 (例 : バッファオーバーフロー) がありません。
