すべてのWAF（Webアプリケーションファイアウォール）が平等に創られているわけではない

トピック: ネットワークおよびアプリケーションセキュリティ、Barracuda Web Application Firewall

2020年7月15日、Christine Barry

Barracuda Web Application Firewallは長年にわたって進化および革新してきました。この進化と革新にはBarracuda CloudGen FirewallとのAPI（アプリケーションプログラミングインターフェース）統合、ネイティブクラウドサービスとの密接な統合、および、最近では、クラウドネイティブバージョンであるBarracuda WAF-as-a-Serviceがあります。

WAFには多くのソリューションがありますが、ほとんどはバラクーダのソリューションに匹敵しません。さまざまなタイプのWAFの欠点について詳細に説明します。

VM（仮想マシン）スタイルの競合製品

VMスタイルの競合製品は、バラクーダのソリューションと異なり、いずれも仮想パッチ適用と修復の自動サービスを実装していません。この欠点は重大です。ベンダが積極的に自社のWAFの新しい脆弱性にパッチを適用し、脆弱性を管理できない場合は、IT管理者がこのタスクの責任を負います。ほとんどのIT管理者には、このような管理タスクを行う時間がありません。大規模なWAFのほとんどのもう一つの欠点はアダプティブプロファイリングを実装していないことです。Web攻撃は消耗戦と同様です。攻撃者は、常に新しい技術を試しており、プロファイルを変化させているため、主要なWAFの多くをバイパスしています。

シンプルな競合製品

シンプルであることには、代償が伴う場合が多いです。シンプルな競合製品はSaaS（Software as a Service）ベースのWAFである場合が多いですが、このような製品の機能には複数の欠点が目立ちます。このような欠点にはATP（Advanced Threat Protection）、JSON（JavaScript Object Notation）/XML（Extensible Markup Language） APIインスペクション、および負荷分散があります。専用のロードバランサが負荷分散を簡単に処理できるとも言えますが、WAFは、監視している負荷を分散できるため、運用コストを削減できます。シンプルなWAFのほとんどは、ATPを実装していないため、サンドボックスなどの高度な技術を使用して、高度な攻撃を検出することはできません。また、APIは成功している新しい攻撃ベクタになっているため、APIがインフラストラクチャに侵入する前に、WAFを使用してAPIをインスペクションすることは、セキュリティを強化するためのもう一つの方法です。

つまり、すべてのWAFが平等に創られているわけではないということです。バラクーダは、すでに堅牢なWAFをクラウド内でサービスとして動作するSaaSベースのWAFに移行できました。両方は、まったく同じ機能を実装していますが、SaaSベースのWAFは、わずか数分の時間と数回のクリックだけでセットアップできます。多くのお客様にとって、SaaSベースのWAFは両方の「いいとこ取り」です。

Barracuda WAF-as-a-Serviceの無料の30日間の評価版については、このWebページをご参照ください。

原文はこちら：

All WAFs are not created equal

July 15, 2020 Christine Barry

https://blog.barracuda.com/2020/07/15/all-wafs-are-not-created-equal/