【動画で体験シリーズ】クラウドWAFのチューニングを体験#F5XC

東京エレクトロンデバイス主催プライベートイベントで行われたハンズオンブースにおいて、多くのお客様に体験いただいた「Webアプリケーション公開に関わる様々な課題を解決するソリューション」のコンテンツの一部を動画＋ブログで紹介するシリーズ第二弾です。
ブログ内で紹介している動画と合わせてぜひご覧ください。

どうも。
東京エレクトロン デバイス株式会社　F5製品プリセールスエンジニアのワラビです。

前回のブログ「Webセキュリティを高める話題のWAAP導入を体験しよう」ではF5社が提供するF5 Distributed Cloud Service（通称 F5 XC）のWAAPの導入方法を紹介しました。
※WAAPとはWeb Application and API Protectionの略で、WebアプリケーションやAPIの保護機能のことです。

こちらに続き今回は【動画で体験シリーズ】第二弾である「クラウドWAFのチューニング体験」を動画付きでご紹介します。

【動画で体験シリーズ 第二弾】F5 XC WAAP　WAFチューニング体験

シリーズ第二弾は、F5 XCにおけるWAFのチューニングを体験するコンテンツです。
WAF機能を提供するF5 XC WAAPについてまだ知らないという方は、ぜひ以下のブログも確認してみてください。

F5 XC WAAPには、DDoSや悪質なBotへの対策やAPIの保護機能の他に、WAF機能があります。WAFとはWebアプリケーションのセキュリティホールや脆弱性を突いた攻撃の検知や防御を行うソリューションです。有名な攻撃手法としてSQLインジェクションやクロスサイトスクリプティングのような攻撃がありますが、これらの攻撃は近年増加傾向であり、情報漏洩などビジネスに甚大な影響を与えるリスクにつながるため、Webアプリケーションを公開する際には必須の対策になっています。

このような背景から、多くのお客様がWAFを導入していますがより効果的にWAFを運用するためには、日々のチューニング対応が肝心です。今回の動画コンテンツでは、WAFチューニングを行うための設定方法の説明だけでなく、F5 XCのクラウドWAFならではの簡単なチューニング方法をご紹介しています。

こちらが今回の動画の目次です。

00:00 オープニング
01:30 F5 XC WAAP とは
02:32 ハンズオン目的と環境説明
04:07 WAFチューニングとは
07:16 F5 XC WAAP設定内容説明
08:30 ハンズオンの流れ
09:31 ①クライアントからサーバーへの疎通確認
12:07 ②攻撃実施と防御ログ確認
17:52 ③除外ルールによるチューニング設定
22:25 ④ダッシュボードを使ったチューニング運用紹介
29:58 次回予告と問い合わせ先紹介

動画前半では、F5 XC WAAPの概要から、WAF運用においてチューニングとはどのようなものなのかをご紹介しています。また動画後半では、クライアント端末から擬似的にWebアプリケーションに攻撃を行い、WAFでブロックしていることを確認した後で、”仮にそれが正常な通信だった場合にどうやってブロックしないようにすればいいのか”といった設定方法を実際の画面をお見せしながら実演しています。そして動画の22分25秒あたりで、F5 XCのコンソール画面から検知件数の多い順にチューニングを行うというような実際の運用で使える効率的なチューニングの流れをご紹介していますので是非最後までご視聴ください。

次回は・・・

次回、第三弾は、Webサーバーとして広く利用されているNGINXに対して、WAFを適用する方法をご紹介します。動画の公開は1月後半を予定しており、その後も1～2週間隔で用意でき次第さまざまなコンテンツを公開していきますので、お楽しみに！

F5 XCには、さまざまな機能がありますが、「こんな事もできるんだ！」「こんなに簡単に設定できるんだ！」ということをより分かりやすく、さまざまな方法でアピールし、より多くの方に知っていただければと思います。気になった機能やサービス全般のご質問などありましたら、以下お問い合わせページからお問い合わせください。その他ハンズオンやトレーニングのご依頼など、さまざまなご相談もお待ちしております。

＜F5製品についてのお問い合わせ＞
https://cn.teldevice.co.jp/product/f5/form.html

それでは、次回もお楽しみに！