データシート

Fastly Next-Gen WAF アーキテクチャとデプロイの概要

Webアプリケーションファイアウォール（WAF）API セキュリティセキュリティ

このデータシートでは、高いパフォーマンスを発揮する Fastly Next-Gen WAF の特許取得済みアーキテクチャと、幅広いデプロイオプションについてご紹介します。

内容

環境を問わない Web アプリと API の統合セキュリティソリューション

Fastly は、コンテナ、オンプレミス、クラウド、エッジなど、あらゆる環境でアプリと API を保護する、WAF 市場で最も柔軟性の高い統合型ソリューションを提供します。パフォーマンスを犠牲にしたり、管理のために専用スタッフを追加する必要がなく、包括的な保護を実現できます。Fastly (旧 Signal Sciences) の次世代 WAF はすぐに使用可能な上、有効性が高いため、約90％以上のお客様がフルブロックモードで使用しています。

Fastly 次世代 WAF は最先端のアプリが必要とするプロアクティブな保護を提供し、既存の DevOps とセキュリティのツールチェーンに統合することで、卓越した可視性を実現します。この柔軟なアーキテクチャにより、開発、運用、セキュリティの各チームは Web アプリケーションや API への攻撃が発生した際に、その場所や方法についてインサイトが得られるため、アプリケーションのセキュリティ戦略をさらに進化させることができます。

アーキテクチャの概要

Fastly Next-Gen WAF は、3つの主要コンポーネントで構成されるハイブリット SaaS (Software as a Service) です。Signal Sciences が開発した特許取得済みのアプローチにより優れたスケーラビリティを実現し、大量のリクエストを受信するアプリケーションや API でも、パフォーマンスに影響を与えることなく効果的に保護します。

エージェント

お客様の既存のインフラストラクチャにデプロイされた軽量のエージェントが、リクエストに対する検出と判断を迅速かつ正確に実行します。

エージェントは小さなデーモンプロセスで構成されています。ローカル環境で正確な検出と判断を高速に実行し、非常に高い負荷にも対応できるよう設計されています。エージェントは処理した悪意のあるリクエストに関するメタデータも収集し、それを Cloud Engine と共有します。Fastly Next-Gen WAF は、最大規模の Webサイトを保護しており、本番環境で何万ものエージェントが何兆件ものリクエストを処理していますが、アプリや API のパフォーマンスを損ねることはありません。エージェントは、攻撃がアプリケーションや API に到達する前にブロックするだけでなく、受信したリクエストやサーバーのレスポンス、アプリケーションの動作異常なども可視化することができます。

モジュール

エージェントと連動して高いパフォーマンスと信頼性を確保する、オプションでありながら強力なコンポーネントです。

モジュールは、ほぼすべての Web サーバー (NGINX、Apache、IIS など) やアプリケーション言語 (.NET、Java、Python、PHP、.nodeJS など) 上で実行されます。たった数百行のコードで構成されていますが、高い信頼性とパフォーマンス両方の実現に役立ちます。モジュールの唯一の役割は、エージェントにリクエストを送り、エージェントから受け取った判断を実行することであり、アプリケーションへのリクエストの許可や、リクエストのログまたはブロックを行います (コンソールで設定されたモードによります)。

クラウドエンジン

外部および独自のソースから収集したインテリジェンスを使用してエージェントを非同期で強化し、アプリケーション固有の動的な検出を可能にするクラウドホスティング型の分析バックエンドです。

Cloud Engine は、顧客ベース全体から何千ものソフトウェアエージェントを通じて匿名化された攻撃データとテレメトリを収集し、分析します。エージェントは Cloud Engine のデータをローカルで利用することで、より適切な検出およびより積極的なブロッキング判断を行うことが可能です。エージェントの判断は、NLX (Network Learning Exchange) によって強化されています。NLX は管理コンソール内で既知の悪質な IP ソースを共有し、アプリケーションや API が脅威に晒される前に疑わしいユーザーに関するアラートを発信します。その他のフィードには悪質な IP の外部リストとお客様のカスタム IP リストが含まれており、これらはすべて、さらなるリクエストコンテキストとしてエージェントによる判断の強化に貢献します。この可視性とコンテキストは、Fastly の API に加え、お客様がすでに使用している DevOps ツール (Slack、PagerDuty、Jira など) や、セキュリティツール (Elastic、Palo Alto Networks の Cortex XSOAR など) とのネイティブ統合を通じて共有されます。またアプリケーションフットプリント全体のメトリクスとイベントレポートも、単一管理コンソールのダッシュボードで簡単に確認することができます。

デプロイオプション

データセンター、クラウド、コンテナ、サーバーレス環境向けのネイティブデプロイオプションをご利用いただけます。

デプロイオプション #1: クラウドとコンテナネイティブ

ご利用の Web サーバー、API ゲートウェイ、またはアプリレベルで、Fastly Next-Gen WAF のエージェントとモジュールのペアを数分でインストールできます。Fastly WAF のエージェントはインフラ環境に依存しないため、開発言語やフレームワーク、依存関係を気にすることなく、必要な場所に柔軟にデプロイできます。

Kubernetes やサービスメッシュへのデプロイ

Kubernetes などの新しいアプリツールやフレームワークの登場で、企業は DevOps に特化した環境へ急速に移行しています。企業がかつてないスピードでコードをリリースする中、Fastly はお客様のコンテナ戦略に最適な、柔軟性の高い複数のデプロイオプションを提供します。これらは Kubernetes に Fastly Next-Gen WAF をインストールできる3つの「レイヤー」と、4つのデプロイ方法で構成されています。さらに、Envoy Proxy や Istio などのサービスメッシュとのネイティブ統合により、縦方向 (クライアントとサーバー間) と横方向 (サービス間) の両方のリクエストに対する可視性が得られます。

インストール方法	レイヤー1: イングレスコントローラ	レイヤー2: ミッドティアサービス	レイヤー3: アプリティア
エージェント + モジュール(同一アプリコンテナ内)
エージェント + モジュール (それぞれ異なるコンテナ内)
リバースプロキシモードのエージェント(アプリと同一のコンテナ内)
リバースプロキシモードのエージェント(サイドカーコンテナ内)

以下は、Fastly WAF との完全な統合が可能なデプロイ先です。

デプロイオプション #2 : データセンター＆レガシーアプリ

レガシーアプリケーションやデータセンターにデプロイされているアプリケーションの保護を必要とする場合、2つのデプロイオプションがあります。1つは、Web リクエストがアプリや API エンドポイントに到達する前にトラフィックを検査できるように Fastly 次世代 WAF をインストールする方法です。もう1つは、リバースプロキシモードでエージェントをインストールする方法です。例えば、ロードバランサー (A10 Networks, HAProxy, NGINX) や API ゲートウェイ (Ambassador、Kong、Cloudentity) に Fastly WAF のモジュールをインストールすることが可能です。当社のエージェントはLoad BalancerまたはAPIゲートウェイでのインストールを妨げる要件を持つ顧客向けに、リバースプロキシモードでデプロイできます。

NGWAF-Architecture_Datacenter-Legacy_Datasheet-diagram

A10 Next-Gen WAF (Powered by Fastly)

優れたオンプレミス保護を実現するため、A10 Networks と Fastly は提携し、A10 Next-Gen WAF (Powered by Fastly) を顧客に提供しています。A10 Thunder ADC は、卓越した精度で多種多様な高度な攻撃からアプリケーションを保護し、サービス可用性を確保しながら複雑性と総所有コスト (TCO) を削減する、業界最高水準のアプリケーション配信を提供します。

デプロイオプション 3 : エッジへのデプロイ

Fastly Next-Gen WAF を Fastly のエッジクラウドネットワークで使用し、Fastly 配信サービスの一環としてセキュリティ対策を強化することができます。エッジクラウドへのデプロイオプションでは、Fastly のキャッシュレイヤーである Varnish にシームレスに統合できます。

これにより、ユーザーにより近い場所での保護と脅威への迅速な対応が可能になり、不正な攻撃トラフィックからオリジンシステムを守ると同時に、トップクラスのパフォーマンスを維持できます。エッジへのデプロイは、既存のインフラストラクチャにソフトウェアをインストールできないお客様や、Fastly のグローバルなコンテンツ配信ネットワーク (CDN) のパフォーマンス上のメリットを活用したいとお考えのお客様に最適です。このデプロイオプションでは、レイヤー3、およびレイヤー4での常時オンの DDoS 対策と TLS 管理を含む追加機能もご利用可能です。

NGWAF-Architecture_EdgeCloud_Datasheet-diagram

デプロイオプション 4 : Cloud WAF

Cloud WAF を使用すると、インフラストラクチャにソフトウェアをインストールすることなく、迅速かつ簡単に Web アプリケーションや API、マイクロサービス、サーバーレスアプリケーションを保護できます。デプロイ後に、DNS に簡単な変更を加えてアプリケーションのトラフィックを Cloud WAF に向けるだけで、Fastly Next-Gen WAF がアプリケーションを保護し、セキュリティに関する可視性を提供します。すべての Web リクエストは Fastly WAF のクラウド実行レイヤーにリダイレクトされ、不正なリクエストが検出・ブロックされます。すべての正常なトラフィックは、お客様のアプリケーションのオリジンサーバーに転送されます。Cloud WAF は CDN レイヤーの上流に変更を加えることなく、簡単に管理できる WAF をお求めのお客様に最適です。

NGWAF-Architecture_CloudWAF_Datasheet-diagram

データプライバシーを重視するセキュリティ対策

大手のファイナンスサービス企業やヘルスケア企業、その他の厳格なデータ保護規則の要件への準拠を必要とする企業の多くが、データ保護を重視して構築された強力なアーキテクチャを採用した Fastly 次世代 WAF を利用しています。機密性の高いデータはすべてお客様の環境の内部で処理され、攻撃または異常なリクエストとしてマークされたリクエストに関しては、サニタイズまたは編集された部分のみが Fastly WAF の Cloud Engine に送信されます。

リクエストにおいて潜在的な攻撃または異常が特定されると、カスタマイズ可能な編集設定がローカルで適用されます。その後エージェントによって、攻撃ペイロードを含むリクエストの編集済みの各パラメーターと、クライアント IP やユーザーエージェント、URI など、リクエストに含まれる機密性がなく無害な情報のみが送信されます。バックエンドでは、レスポンスコード、サイズ、時間などのレスポンスのメタデータのみが収集されようになっています。お客様は、必要に応じて編集ポリシーやフィールドを自由にカスタマイズできます。さらに、Fastly はバックエンドにリクエストを送信する前に一般的な種類の機密データ (パスワード、キー、GUID、あらゆる種類の PII と PHI) に自動的に編集を施し、機密性の高い情報を保護します。

「導入後すぐに効果を発揮し、自動的にスケールしてアプリケーションを保護するだけでなく、優れた可視性も提供してくれます」

Anson Gomes 氏

Lead Security Engineer

DevOps とセキュリティのツールチェーンに統合

アプリケーションと API を効果的に保護するためには、開発チーム、運用チーム、セキュリティチームがすでに使用しているツールを通じて同じベースラインのセキュリティデータを取得できるようにすることが重要です。Fastly は業界トップクラスのツールやプラットフォームと連携し、お客様の DevOps とセキュリティのツールチェーンにリアルタイムでアラートを送信します。お客様は、Fastly が提供する本番環境のセキュリティに関するテレメトリを既存のツールやワークフロー内で簡単に利用して、さらに詳細な調査や分析を行うことができます。

テクノロジーの統合は導入後すぐに活用できるようになっており、チームの最先端の開発モデルやアーキテクチャへの移行を後押しします。またワンクリック統合には、最も一般的な開発・運用アラートエンジン、ChatOps、プロジェクト管理システム、インシデント追跡システムなどの機能が含まれます。