2021年にレビューされた10のベストWebアプリケーションファイアウォール（WAFベンダー）

Webアプリケーションファイアウォール（またはWAF）は、比較的新しい種類のファイアウォールです。IPアドレスとポートに基づいてトラフィックをブロックまたは許可するだけでなく、さらに一歩進んでトラフィックを分析し、事前定義された一連のビジネスルールに基づいて決定を下します。

それらの名前が示すように、それらの主な目的はWebベースのアプリケーションを保護することです。Webアプリケーションファイアウォールの選択は困難な作業になる可能性があります。それらはクラウドベースのサービスまたはアプライアンスとして存在し、それぞれに長所と短所があります。そのため、この10の最高のWebアプリケーションファイアウォールのリストをまとめました。さまざまなベンダーの製品機能を評価するのに役立ちます。

この記事では、Webアプリケーションファイアウォール、それらが何であるか、そしてそれらがどのような目的を果たすかについての議論から始めます。次に、クラウドベースのシステムとアプライアンスベースのシステムを比較し、それぞれの長所と短所を一覧表示します。ご覧のとおり、これは単なる哲学的な選択ではありません。WAFの基本を説明した後、主題の核心に飛び込み、1つではなく2つのリストを提示します。最初に、クラウドベースのWAFのベスト5を確認し、次に、WAFアプライアンスのベスト5を確認します。

一言で言えばWAF

はじめに述べたように、Webアプリケーションファイアウォールは特別な種類のデバイスです。これは、標準のファイアウォールで可能なものよりもはるかに優れたWebベースのアプリケーションを保護するために使用できます。典型的なWAFは、クロスサイトスクリプティング、Cookieポイズニング、Webスクレイピング、パラメータ改ざん、バッファオーバーフロー、その他多くの種類の脆弱性など、いくつかの種類の攻撃からWebサイトを保護します。

IPアドレスやポート番号などの単純なパラメータに基づいてトラフィックを許可またはブロックするという従来のファイアウォールとは異なり、WAFは主にHTMLデータの詳細な分析に基づいて決定を下します。彼らは、悪意のある動作パターンを認識しようとする要求を調べます。また、HTTPSトラフィックを復号化して、暗号化されたパケットに悪意のあるコードが挿入されないようにします。Webアプリケーションファイアウォールは、既知のマルウェアシグネチャを監視しますが、可能な限り最高の保護を実現するために、不正な形式または非標準の要求も傍受します。

Webアプリケーションファイアウォールは、それ自体で十分な保護を提供しますが、標準のファイアウォールやウイルス保護ソフトウェアなどの他の保護システムとバンドルすると、最大数の脅威に対して最高のカバレッジを得ることができます。これまで以上に、ネットワーク管理者はマルウェア防止に全体的なアプローチを採用する必要があります。

クラウドベースまたはアプライアンス？

Webアプリケーションファイアウォールには基本的に2つのタイプがあります。WAFは、クラウドベースにすることも、アプライアンスとして実行することもできます。クラウドベースのWAFは、ベンダーによってホストされています。Webサイトへのすべてのリクエストは、DNSの魔法を介してWAFインスタンスにリダイレクトされ、実際のサイトに転送される前に検証されます。

アプライアンスWAFはハードウェアデバイスです。これらは特殊なコンピューターであり、通常、カスタムオペレーティングシステムやWebアプリケーションファイアウォールソフトウェアを実行する画面やキーボードなどのユーザーインターフェイスはありません。これらは通常、データセンター内にインストールされ、従来のファイアウォールとWebサーバーの間に配置され、そこからの要求を傍受します。

クラウドベースのWAFの長所と短所

プラス面として、クラウドベースのソリューションはベンダーによって処理されるため、メンテナンスは必要ありません。これらのソリューションには通常、冗長性または高可用性機能が組み込まれています。ベンダーは通常、システムバックアップも処理します。もう1つの利点は、WAFサービスを同じベンダーの他のサービスと組み合わせることができることです。たとえば、単一のプロバイダーのコンテンツ配信機能とWAF機能を組み合わせて、シームレスに統合されたソリューションを実現できます。

ただし、クラウドベースのWAFにはいくつかの欠点もあります。最も重要なことの1つは、多くのサービスに対して単一のプロバイダーであなたをロックできることです。Webサイトへのすべてのトラフィックはクラウドプロバイダーにリダイレクトする必要があるため、従来のファイアウォールなどの他のセキュリティサービスを使用する以外に選択肢はほとんどありません。

WAFアプライアンスの長所と短所

WAFアプライアンスの主な利点は、すべてを社内に保管できることです。インフラストラクチャの細部を完全に制御できます。また、さまざまなベンダーからさまざまなコンポーネントを自由に選択できることも意味します。

欠点は、アプライアンスを使用することは、それを維持する必要があることを意味します。そして、あなたはあなたのトラフィックが増加するにつれてそれをアップグレードしなければならないでしょう。ハードウェアソリューションを使用すると、すべての機器を最初から取得する必要があるため、初期費用もはるかに高くなります。最終的には、選択はあなた次第ですが、最初に1つのタイプのインストールを選択するのではなく、特定のニーズに基づいてガイドする必要があります。

クラウドベースのWAFのトップ5

可能性のある5つの最高のWebアプリケーションファイアウォールのリストをまとめました。それらはすべて評判の良いサプライヤーからのものであり、あなたのお金に大きな価値を提供します。それらはすべて優れた製品であるため、他のものよりも実際に推奨することはできません。

1. Cloudflare WAF

Cloudflareは、DDoS攻撃からWebサーバーを保護することで高い評価を得ています。そのサービス提供は、Webアプリケーションファイアウォールも備えています。このサービスにはすでに巨大な顧客ベースがあり、そのサーバーは現在、1秒あたり300万近くのリクエストを処理しています。また、CloudflareのWebサイトにアクセスすると、最終日に4億を超えるWAFルールがトリガーされたことがわかります。

このように幅広い顧客ベースでクラウドサービスを使用する主な利点の1つは、他のクライアントから取得したインテリジェンスから利益を得ることができることです。たとえば、別のクライアントで攻撃の試みが検出された場合、新しいシグニチャが作成され、すべてのクライアントに適用されます。Cloudflareのソリューションのもう1つの利点は、コンテンツ配信とDDoS保護も提供することです。

2.アカマイコナサイトディフェンダー

アカマイは、コンテンツ配信システムの世界的リーダーです。何年にもわたって、同社はその製品にさらに多くの機能を追加してきました。Kona Site Defenderは、WAFと呼ばれるように、その1つです。Webアプリケーションファイアウォールは、完全なDDoS保護を統合します。もちろん、WAFサービスは、コンテンツ配信ネットワークなどの他のアカマイのサービスと簡単に組み合わせることができます。トラフィックがアカマイにリダイレクトされたら、それを利用して、必要な数のサービスを使用することもできます。

その規模とクライアントベースにより、アカマイは他のベンダーよりも早く新しいエクスプロイトを発見することがよくあります。Kona Site Defenderユーザーは、この競争力の恩恵を受け、ゼロデイエクスプロイトのブロックを強化することで効果的に強力な保護を得ることができます。

3.F5シルバーライン

F5は、クラウドサービスよりもBIG-IPアプライアンスでよく知られています。一言で言えば、F5 Silverlineは、以下でレビュ​​ーする同社の優れたBIG-IPASMアプライアンスのオンラインバージョンです。これは、マネージドサービスとして、またはF5がWebアプリケーションとデータを進化し続ける脅威から保護するためのエクスプレスセルフサービスと呼んでいるものとして利用できます。サブスクリプションの期間は1年または3年です。24時間のライブサポートがサービスに含まれています。

このクラウドベースのサービスの主な利点の1つは、分散型またはクラウドでホストされているインフラストラクチャを保護できることです。保護にはレイヤー7DDoSシールドが含まれ、Torネットワークの一部であるような匿名化されたアドレスもブロックします。このシステムは、既知のフィッシング詐欺師とWebスクレイパーのライブブラックリストも使用します。また、このブラックリストはすべての顧客によって共有されているため、別のクライアントで得られたインテリジェンスの恩恵を受けることができます。

4.アマゾンウェブサービスWAF

アマゾンウェブサービス（またはAWS）は、広く知られているオンラインマーケットプレイスのクラウドベースのホスティングサービスです。これは、Amazonの巨大な分散インフラストラクチャを利用してホスティングサービスを提供します。アマゾンウェブサービスのクライアントの場合は、AWSWAFが適している可能性があります。アマゾンウェブサービスは、負荷分散とコンテンツ配信サービスも提供しています。

アマゾンウェブサービスWAFの料金モデルは、他のベンダーとは異なります。毎月事前定義された金額を支払う代わりに、サービスに追加するセキュリティルールごとに、および毎月受信されるWebリクエストの数に対して請求が行われます。これについての最もよい事はあなたがいくつかの将来の成長のためにすぐに支払う必要がないということです。また、季節的なピークがある組織にとっても非常に興味深いものです。

5. Imperva Incapsula

Impervaは、ITセキュリティ分野のもう1つの一般名です。 IncapsulaすべてオープンWebアプリケーションセキュリティプロジェクトのトップ10の攻撃やゼロデイ脅威を含むアプリケーション層の攻撃から保護するためのクラウドベースのWebアプリケーションファイアウォールImpervaのマネージドサービス。このサービスはPCI認定を受けており、高度にカスタマイズ可能です。また、非常に効果的であり、誤検知を最小限に抑えてほとんどの脅威をブロックします。

Incapsulaは、最も安価なクラウドベースのWAFソリューションの1つです。プランは月額300ドルから始まります。Incapsulaの優れた機能の1つは、より「従来の」WAFに加えて、システムがサーバーを調査し、見つかった問題に対処するパッチを送信して、Webアプリケーションの保護を強化することです。もちろん、運用上の影響を減らすために、選択した時間にパッチを適用するようにスケジュールすることができます。

私たちのトップ5ベストWAFアプライアンス

クラウドベースの上位5つのWAFソリューションがすべて有名なベンダーのものであったように、WAFアプライアンスも同様です。彼らは最も評判の良いセキュリティ機器ベンダーのいくつかからのものです。そして、前のリストと同じように、これは最高のものしかありません。WAFアプライアンスのほとんどのベンダーは、クラウドベースのサービスも提供していることに注意してください。

1. Imperva SecureSphere

Impervaは、両方のリストに登録した2つのベンダーのうちの1つです。そのSecureSphereWAFは、小規模なインストールを対象としています。彼らが提案するさまざまなユニットのスループットは100Mbpsから10Gbpsまでさまざまで、最小のユニットは1秒あたり440のSSLトランザクションを処理でき、大きいユニットは9000です。中間層のユニットであるX2020のスループットは500 Mbpsで、2000のSSLを処理します。 1秒あたりのトランザクション数は、約$ 4200に戻ります。

最上位モデルの1つを選択すると、それらが次のより大きなモデルにアップグレード可能であることがわかります。たとえば、X821をX 10Kにアップグレードして、容量を実質的に2倍にすることができます。また、アップグレードには、適切なソフトウェアパッチとライセンスを購入するだけで済みます。コストのかかるハードウェアのアップグレードは必要ありません。

2.バラクーダWebアプリケーションファイアウォール

バラクーダは、ITセキュリティの分野で尊敬されているもう1つの名前です。中小規模の組織に最適な優れたWAFソリューションを提案します。Barracudaアプライアンスは、競合他社よりもいくらか高価ですが、1年間の無料アップデートが付属しています。また、更新については、新しい脅威が特定されるたびに頻繁に実行されます。

バラクーダのWAFアプライアンスはまた、いくつかの余分な機能を備えています。たとえば、コンテンツ配信を高速化するためのキャッシュを提供します。複数のサーバー間の負荷分散は、もう1つの利用可能な機能です。完全なDDoS保護を追加することもできます。他のほとんどのWAFアプライアンスと同様に、BarracudaWAAFにはいくつかのサイズがあります。モデル360のような平均的なデバイスのコストは約6350ドルで、25Mbpsのスループットと1秒あたり2000のSSLトランザクションを提供します。

3. CitrixNetscalerアプリケーションファイアウォール

CitrixのNetScalerは非常に人気のロード・バランシング・アプライアンスです。すでにそれらを使用している場合は、それらの一部をWebアプリケーションファイアウォールとしても使用できることを知って喜ぶでしょう。この機能は、上位のNetSclaerMPXアプライアンスまたはNetScalerCloudServiceでのみ使用できます。さらに、無料で入手するには、最上位のプラチナライセンスを購入する必要がありますが、エンタープライズライセンスのオプションとしても利用できます。

NetScaler WAFの最大の利点は、最先端のロードバランシングとセキュリティを1つのボックスで実現できることです。これはプレミアムシステムであり、プレミアム価格で提供されます。最小のモデルであるMPX5550のスループットは500Mbpsで、1秒あたり最大1500のSSLトランザクションを支払うと、約$ 4000を支払うことが期待できます。

4.フォーティネットFortiWeb

フォーティネットのFortiWebアプライアンスは、中小規模の組織に適しています。アプライアンスは、WAF、ロードバランシング、およびSSLオフロード機能を統合します。FortiWebアプライアンスの最も優れた最新の機能の1つは、攻撃検出の精度を向上させる2段階のAIベースの機械学習です。ほぼ「設定して忘れる」Webアプリケーションファイアウォールを作成します

FortiWebアプライアンスは、最新のアプリケーションの脆弱性、ボット、および疑わしいURLからインフラストラクチャを保護します。また、そのデュアル機械学習検出エンジンは、SQLインジェクション、クロスサイトスクリプティング、バッファオーバーフロー、Cookieポイズニング、悪意のあるソース、DDoS攻撃など、あらゆる種類の脅威からアプリケーションを安全に保ちます。選択できるFortiWebモデルは8つあり、それぞれ容量が大きくなっています。それらは、25 Mbpsのエントリーレベルの100Dから、20Gbpsのスループットを備えた最上位モデルの4000Eまでの範囲です。

5. F5 BIG-IPアプリケーションセキュリティマネージャー（ASM）

最後になりましたが、F5 BIG-IPASMアプライアンスです。F5はCitrixの主要な競合製品の1つとしてご存知かもしれません。彼らは一流のロードバランサーでよく知られています。これは、大企業を対象としたアプライアンスです。

F5 BIG-IP ASM脅威保護は、詳細な脅威分析と動的学習を使用します。実行する構成はほとんどありませんが、インフラストラクチャが適切に保護されていることを確認できます。F5 BIG-IP ASMのもう1つの興味深い機能は、SSLオフロードです。このデバイスはSSL暗号化と復号化をオンザフライで処理し、WebサーバーがWebページを提供するために最も得意とすることに集中できるようにします。

結論は

選択できる製品とサービスが非常に多いため、適切なWAFソリューションを選択するのはほんの一握りです。これらは高価なシステムであり、正しくセットアップおよび構成するには、多くの場合、かなりの労力とトレーニングが必要です。これは、多くの異なる製品を試すためだけに2回やりたいことではないでしょう。ニーズと成長予測を正確に特定し、自分に最適なWAFを選択するためのより良い立場に立つ可能性があることを確認してください。