2022年第4四半期

Fastly のお客様ならびに関係者の皆様へ

2022年最後の四半期も、ネットワークサービスやセキュリティ、可観測性に関する機能を強化し、プロダクトポートフォリオの拡充を進めました。セキュリティ分野では、Next-Gen WAF で SmartParse と GraphQL 内で Log4Shell 攻撃のシグナルがデフォルトでサポートされ、進化する脅威の環境に対応しています。また DDoS 攻撃対策では、TLS での ECSDA 証明書のサポートが Fastly コントロールパネルで利用可能になりました。ネットワークサービスでは、自動化トークンとヘルスチェックのカスタムヘッダーの機能が一般公開されました。これらの機能により、サービス管理のワークフローを合理化できます。Websocket とイメージオプティマイザーのセルフ・イネーブルメントの両機能が、Fastly コントロールパネルで利用可能になりました。さらに、Google Cloud Storage、BigQuery、Pub/Sub ログエンドポイントの使用において、Fastly アプリにサービスキーを保存する必要がなくなり、ログエンドポイント設定の一時的な認証情報を、お客様が管理できるようになりました。

内容

• 自動化トークン 一般公開)


• ヘルスチェックのカスタムヘッダー 一般公開)


• イメージオプティマイザーのセルフ・イネーブルメント (限定公開)


• LOG4J-JNDI 攻撃シグナル 一般公開)


• GraphQL インスペクション 一般公開)


• TLS での ECSDA 証明書のサポート 一般公開)


• Google IAM 一般公開)

自動化トークン 一般公開)

自動化トークンは認証トークンの一種で、継続的統合システムやビルドシステムなど、人間ではないクライアントが Fastly API 経由でアクションを実行できるようにします。自動化トークンは人間のユーザー ID に紐づけされていないため、従業員が組織から離脱した場合にお客様のビジネスに支障が生じるリスクを緩和できます。また、このトークンにより、ひとつまたは複数、あるいはすべてのサービスにアクセスできるかどうかを管理できるため、セキュリティ体制の強化にもつながります。さらに、監査ログでサービスのアクティビティを正確に示すことで、自動化トークンはコンプライアンスもサポートします。

ヘルスチェックのカスタムヘッダー 一般公開)

この機能により、VCL の自動生成をブロックすることなく、コントロールパネルまたは API でヘルスチェックプローブにカスタムヘッダーを追加できます。また、Fastly によるヘルスチェックで、事前に共有されたキーや API キー、その他のカスタムヘッダー値を必要とするお客様は、一時的な対策としてカスタム VCL ソリューションを使用せずに、ヘルスチェックを実行できるようになります。

コンピューティングと配信サービス向け WebSocket (限定販売)

Websocket のサポートが追加されました。これは、エンドユーザーのブラウザとオリジンサーバーの間で、オープンかつインタラクティブな双方向通信を可能にする通信プロトコルです。WebSocket では長時間接続が維持され、いつでもいずれかの方向にデータを送信でき、リクエスト-レスポンスのサイクル (エッジトラフィックの通常の処理モード) に従いません。ただし、HTTP リクエストとして開始された接続を WebSocket 接続にアップグレードすることは可能です。オリジンサーバーに WebSocket を実装しているお客様は、コンテンツ配信に使用されているのと同じドメインを共有できます。WASM または VCL によって WebSocket をコンピューティングまたは配信環境で直接 WebSocket を有効にし、接続のアップグレードとバックエンドの選択を開始できます。

イメージオプティマイザーのセルフ・イネーブルメント (限定公開)

Fastly のパワフルなイメージオプティマイザー (IO) を Fastly のコントロールパネルまたは API で即座に有効化/無効化できるようになりました。このようにセルフサービスが可能になったことで、完全に既存のプロセスやワークフローに統合されている自動化機能を使用しながら、IO を大規模に管理できる柔軟性とコントロールが強化されました。IO のご購入後、すぐにお客様のエンドユーザーは IO の価値を認識し、運用上の複雑さとタイムトゥバリューを大幅に削減しています。

LOG4J-JNDI 攻撃シグナル 一般公開)

SmartParse が複雑な Log4Shell ペイロードを受信すると、最も基本的な形式に抽出されます。昨年 Fastly は、Log4j ユーザーに影響を与えるゼロデイ脆弱性「CVE-2021-44228」からお客様を保護するため、即座に仮想パッチを発行しました。通常、攻撃や異常な動作のシグナルには Fastly の SmartParse テクノロジーが活用されますが、特に進化した亜種がすぐに次々と発生している状況では、正規表現ベースの仮想パッチを迅速に実装する場合もあります。SmartParse を活用すると、誤検知を最小限またはゼロに抑えながら、絶えず増え続ける正規表現パターンを管理したり、それらに依存したりすることなく、高度で正確な検出が可能になります。また、SmartParse と攻撃シグナルを活用して、組織または企業レベルでルールを構築・作成することもできます。

GraphQL インスペクション 一般公開)

Fastly の Next-Gen WAF 内で GraphQL インスペクションが一般公開されました。追加のセットアップなしで、OWASP タイプの攻撃や攻撃トラフィックを含む、WAF 検出の現在の設定が GraphQL リクエストにも適用されます。さらに、GraphQL 特有の攻撃や異常な動作のシグナルが追加されているので、GraphQL を狙った攻撃を処理するために特別なルーティングやカスタムルールを適用することもできます。一般的な攻撃ベクトルがますます巧妙化していますが、GraphQL インスペクションのような新しいテクノロジーや特別な設定なしですぐに使用できるソリューションの登場により、API セキュリティも進化しています。

TLS での ECSDA 証明書のサポート 一般公開)

RSA 証明書と同様に、お客様によって準備された ECDSA (Elliptical Curve Digital Signature Algorithm) 証明書を、 Fastly アプリケーションまたはコントロールパネル経由でアップロードしてデプロイできます。業界標準の RSA 証明書はこれまでほとんど変わっていませんが、分散型サービス妨害 (DDoS) 攻撃の規模が拡大する中、組織は TLS プロトコルをアップグレードしています。RSA の鍵長が長くなりすぎると (4048ビット)、TLS ハンドシェイクが DDoS 攻撃で悪用される可能性があります。ECDSA 証明書を使用することで、より鍵長の短い公開鍵インフラストラクチャ (PKI) を使用してセキュリティを強化し、エンドユーザーがサービスに接続されるスピードを向上させることができます。

Google IMA 一般公開)

今回リリースされたシークレット不要の IAM (Identity Access Management) 認証では、お客様がサービスアカウントの鍵を Fastly に保存するのではなく、一時的な認証情報をお客様に代わって管理することで、Google の Cloud Storage や BigQuery、Pub/Sub のログエンドポイントの設定を、シンプルかつ安全に行えるようになります。このエンタープライズグレードのアクセス制御機能を利用してアクセス管理を一元化することで、ログ設定でローカル ID を使用する必要がなくなります。これにより、アプリケーションの管理がシンプルになり、高速化してコストを削減できるだけでなく、IAM のライフサイクルを自動化することで生産性が向上します。IAM は、誰がデータにアクセスし、アクセスがどのように保護されているかなど、データの保護対策を実証し、コンプライアンス基準に準拠しています。