Web アプリケーションがクロスサイト スクリプト、SQL インジェクション、アプリケーション DDoS などの攻撃の対象となる危険性はますます高まっています。OWASP は、そのような攻撃に対して耐久性を高めるアプリケーションを作成するためのガイダンスを提供する一方、アプリケーション トポロジーの複数の層で厳格なメンテナンスとパッチの適用が必要です。Microsoft Web Application Firewall (WAF) と Azure Security Center (ASC) は、そのような脆弱性から Web アプリケーションを保護するのに役立ちます。
Microsoft WAF は Azure Application Gateway の機能の 1 つ (レイヤー 7 の負荷分散) で、OWASP コア ルール セットを使用して一般的な Web エクスプロイトから Web アプリケーションを保護します。Azure Security Center は、Azure リソースをスキャンして脆弱性の有無を確認し、それらの問題に対する移行手順を提案します。そのような脆弱性の 1 つに、WAF で保護されていない Web アプリケーションの存在があります。現在、Azure Security Center では、オープンな受信 Web ポート (80 および 443) に関連付けられたネットワーク セキュリティ グループを持つ公開 IP での WAF デプロイを推奨しています。Azure Security Center は、既存の Azure リソースにアプリケーション ゲートウェイ WAF をプロビジョニングするとともに、既存の Web アプリケーション ファイアウォールに新規リソースを追加します。WAF との統合により、Azure Security Center は WAF のログを分析し、重要なセキュリティ通知を明示することができます。
場合によっては、セキュリティ管理者が Azure Security Center から WAF をプロビジョニングするためのリソースへのアクセス許可がセキュリティ管理者にないケースや、アプリケーション所有者がアプリのデプロイで既に WAF を構成しているケースもあります。このようなシナリオに対応するため、Security Center でプロビジョニングされなかったサブスクリプションで、Security Center による WAF インスタンスの自動検出がまもなく可能になることを発表いたします。事前にプロビジョニングされた WAF インスタンスが、検出されたソリューションの Security Center セキュリティ ソリューションのウィンドウに表示され、セキュリティ管理者はそこで Azure Security Center を統合できます。既存の Microsoft WAF デプロイを接続することで、WAF のプロビジョニング手法に関係なく、Security Center 検出を利用できるようになります。カスタム ファイアウォール ルール セットなどの追加の構成設定も、Security Center から直接移動できる WAF コンソールで利用できます。Microsoft WAF の構成に関するこの記事では、プロビジョニング プロセスの詳細なガイダンスをご覧いただけます。
皆様からのフィードバックをぜひお聞かせください。ご提案やご質問がありましたら、この記事の下部からコメントをお寄せいただくか、ascpartnerssupport@microsoft.com にご連絡ください。
Azure Security Center について、さらに詳しく知りたい場合は、次のページをご覧ください。