Citrix Systems
シトリックスシステムズ
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU
Citrix Systems
シトリックスシステムズ

第3話
間違いだらけのWAF選び~ブラックリストVSホワイトリスト~

Citrix NetSCaler

ホワイトリスト型は設定が面倒?
NetScaler ならブラックリスト型よりも簡単に運用できます

検証から運用までの更新作業

検証(事前設定)時の構成

検証時、ブラックリスト型製品の多くはスイッチのポートミラーリングの機能を利用し、スニッフィングモードで実環境に設置するケースが多いです。

この場合、まずスイッチがポートミラーリング機能に対応している必要があり、また設置時にはスイッチに対して設定を投入する必要が出てきます。

対して、NetScalerはリバースプロキシとして動作しますので、同様にOne Arm構成で検証を行う際、スイッチにポートミラーリングの設定を施す必要はありません。

事前設定について

NetScalerはホワイトリスト型のため、自社のWebアプリケーションに対して正しい通信を定義する必要があります。これは非常に多大な工数を要すると思われがちですが、実際には非常に簡単です。NetScalerの「自動学習モード」をOnにし、アプリケーションの仕様書に定められている「アプリケーションリリース前の動作確認手順」に沿って実際にWebアクセスをしてもらうだけです。

一方で、ブラックリスト型製品の場合は、

  • 自社のWebアプリケーションにとって正しい通信を誤って止めてしまわないか?
  • 自社のWebアプリケーションにとって悪意のある通信を正しく検知できるか?

の両方ともを確認する必要があります。
上記のうち、①はホワイトリスト型と同じく、正しい通信を全て通してみる必要があるため工数は変わりません。
ただし、②については悪意ある通信を「全て」試すというのは事実上不可能であり、「悪魔の証明」と言えます。

検証から運用構成時の意向

ブラックリスト型製品をスニッフィングモードにて検証導入していた場合には、プロテクションモードにて本番環境へ導入するために、ネットワークの構成を変更する必要があります。Inline構成に移行するために、移行時にはネットワーク断を伴います。

Netscalerはリバースプロキシとして動作しているため、本番もOne Arm構成を取ることが可能です。この場合、ネットワーク構成の変更を伴わず、サーバの実IPアドレスとNetScalerが持つ仮想IPアドレスをDNS登録上で入れ替えるだけで、ネットワーク断なしに本番への移行が可能です。

運用中における設定更新作業

ブラックリスト型製品の場合、シグネチャファイルが更新された際に必ず作業が伴います。

  • 更新されたシグネチャ部分によって、正しい通信が誤検知されないか?
  • 更新されたシグネチャ部分が、新しい攻撃をきちんと検知できるか?

上記のうち、①は再度自社のWebアプリケーションに対して正しい通信を全て通してみる必要があるため、ある程度の工数を伴います。また、②については事実上不可能と言えます。

NetScalerの場合、ホワイトリスト型を採用していうるので、基本的にはシグネチャの更新はありません。そもそも自社のアプリケーションに対して正しい通信のみを許可する設定になっているため、どれだけ新しい攻撃手法が編み出されたとしても、それは単純に許可されていない通信をみなされるだけです。

Webアプリケーション改修時

Webアプリケーションが改修、もしくは刷新された場合には、ブラックリスト型であろうがNetScalerであろうが再設定作業が必要になります(新規のWebサーバに対して機器を導入するイメージ)。

その際にかかる工数は、”-2.”にてご説明した通り、NetScalerの方が簡単に導入可能です。