OracleCloud WAFの説明 - 言葉にできるは武器なるらしい

まずはWAFの課金体系

クラウドなので、基本亭には使った分だけ課金されます。課金対象は下記の3パターンなのでいろいろWAFポリシーを多く設定すればするほど課金も高くなってきます。とはいえ、自分のサーバが従来どのくらい攻撃されてたかなんて把握してない人が多いので、実際は毎月試しながら、どのくらいのリクエスト量なのかBOT検知してるのか、などを見ていけばいいと思います。

オラクルクラウドサービスの中のWAF（Web Application Firewall)は種類が3つあります。

WAF　1,000,000 incomingリクエスト

入ってこようとしたリクエスト全部に対してチェックする

WAF　GB of Good Traffic

上のチェックに加えて、通過させた分のトラフィック量に足しても課金が発生する

WAF　Bot Management 1,000,000インカムリクエスト

ボットのチェックは別料金となって、高額な単価で課金がかかる。この機能を使うかどうかは選べるはず。

ボット対策とは：インターネット上では、ボットによるトラフィックは人間によるそれよりも多くなっています。ボットの大半は悪意のないものですが、しかしそれゆえ単にボットを全てブロックしてしまうということもできません。JavaScriptチャレンジ、CAPTCHAチャレンジ、ホワイトリスト機能をWAFルールセットと併せて用いることで、良性ボットをとおして悪性ボットをブロックすることが可能です。

そもそもOCI WAFの機能の整理

端的にまとめるとこの5つくらいです。ホワイトペーパーを見てみると他にもインテリジェンスチームが24時間体制で監視してまっせみたいなことも書いてあるけど、機能っぽくないので却下しましたw

250 を超える定義済みのルール 250以上のルールセットとOWASPルールセットをサポートし、SQLインジェクション、クロスサイトスクリプティング、HTMLインジェクションなどの脅威から保護します。

BOT 検知 JavaScript、CAPTCHA、ホワイトライティング機能により、悪意あるボットを検出し、トラフィックへのアクセスを制御します。

IP アドレスによるホワイトリスト・ブラックリスト制御国、IPアドレス、URL、およびその他の要求属性に基づいてユーザーアクセス制御を構成し、危険なトラフィックを禁止できます。

オンプレミス、マルチクラウド環境を保護あらゆる環境において（OCI、オンプレミス、マルチクラウド）、インターネットに接続するすべてのアプリケーションを保護できます。

API や SDK を用いて管理できるすべての操作に対してAPI、SDK、Terraformをサポートしており、他のOCIサービスと統合できます。

基本動作としては、

まずWAFを作る前に外部公開用のDNSレコードを作成しておき、それを守りたいwebサーバのCNAMEとしてDNSに登録することで、トラフィックをWAF経由に設定することができる

f:id:rodeeeen:20200518102702p:plain WAFを作成したら WAFポリシーやBOT検知をするかどうかの設定を追加していきます。 WAFを作成しても何もポリシーの設定をしなければ、ザル状態で言わば課金もされません。何も検知しないから。オラクルが事前に準備している250以上のルール（ポリシー）はオンオフを選ぶだけで適用できるようになっています。ちなみにこれらの250といってるルールはOWASPのTOP10に挙げられているようなリスクに対応できるようにと設計されている。らしい https://owasp.org/www-project-top-ten/?gclid=EAIaIQobChMIiJu7t4v76AIV8Z7CCh1xbgcCEAAYASABEgLOWPD_BwE

WAFで防御できる攻撃の例

オワスプTOP10って何よ？てかWAFで具体的にどんな攻撃防げるの？と言われたら一旦下記で答えよう。オワスプ10にはもっともっと載ってるが、具体的な攻撃名とかでない項目もあるので、皆がイメージしやすいのはこんな感じかなと。 DDoS攻撃ボット攻撃 SQLインジェクション HTMLインジェクションクロスサイトスクリプティングなど