ある企業がAzure Application Gatewayを使用してWebアプリケーションをホストしており、WAF(Web Application Firewall)を有効化している。WAFに関して正しい説明を2つ選択してください。
- A. WAFのDetection(検知)モードでは、一致したリクエストをブロックするとともにログに記録する
- B. WAFはOWASP Core Rule Set(CRS)に基づく攻撃(SQLインジェクション、XSSなど)からアプリケーションを保護する
- C. WAFはL3/L4レベルのDDoS攻撃を完全に防御するため、Azure DDoS Protectionは不要になる
- D. WAFのPrevention(防止)モードでは、一致したリクエストをブロックしてログに記録するが、Detectionモードはログのみでブロックは行わない
解答と解説を見る
正解: B, D
正解はBとDである。B:Azure Application Gateway WAFはOWASP(Open Web Application Security Project)のCore Rule Set(CRS)3.0/3.1/3.2をベースとした管理ルールセットを使用し、SQLインジェクション、クロスサイトスクリプティング(XSS)、リモートファイルインクルードなどの一般的なWebアプリケーション攻撃からアプリケーションを保護する。D:WAFのPrevention(防止)モードでは検出されたルール違反のリクエストをブロックしてログに記録し、Detection(検知)モードではブロックせずにログのみに記録する。本番環境では通常Preventionモードを使用するが、誤検知の調査段階ではDetectionモードが有効である。選択肢AはDetectionモードをブロックすると述べており正反対の説明で誤り。選択肢CはWAFはL7(アプリケーション層)の保護であり、L3/L4の大規模DDoS攻撃(帯域幅攻撃など)を防御する機能はなく、Azure DDoS Protectionとは補完関係にあるため、DDoS Protectionが不要になるという主張は誤りである。