新手のセキュリティ脅威に対するファイアウォール配備シナリオ:ネットワーク向け防御だけでは不十分
アプリケーション攻撃および新たなマルウェアに対抗する最適なファイアウォールの配備シナリオを紹介する。
企業のITシステムでは伝統的にファイアウォールが防御の最前線に配備され、インターネット上の脅威から資産を防御している。
多くの場合、ファイアウォールはゲートキーパーとしての役割を果たし、企業が必要だと見なすインターネット上のサービスだけにアクセスできるように制限している。基本的なレベルでは、資産をリストしたルール、そして特定の場所からのアクセスが許可されるサービスによってアクセスが制御される。これらのルールは資産の機能に基づいて決定される。
一般に、企業は隔離されたネットワークセグメントに企業資産を置くことにより、インターネット上でアクセスできるサーバから企業資産を切り離す分割アーキテクチャデザインを採用してきた。このようなセグメントは従来、DMZ(DeMilitarized Zone)と呼ばれてきた。この隔離は、ファイアウォールのネットワークインタフェースをこれらのサーバ専用にすることによって実現される。DMZ内で運用されるサーバ以外の資産に直接アクセスすることは許可されない。通常、これらの資産としては、社内のワークステーション、重要なサーバコンポーネント(ドメインコントローラーなど)、電子メールサーバ、業務アプリケーションなどが含まれる。DMZセグメント内で運用される資産には、インターネット上でアクセス可能なアプリケーション(Webインタフェース、メールシステム、共有フォルダなど)が含まれる。DMZ上の資産と業務セグメント内の資産との間のアクセスは厳格にコントロールされる。
このアーキテクチャと、企業のホステッド環境のアーキテクチャを比較すると、アクセス制御の手法において多くの共通点が存在することが分かる。ホステッド環境の例としては、サードパーティーがホストする企業の電子商取引プラットフォームなどが挙げられる。こういった環境では通常、DMZセグメントにWebヘッド(Webサーバ、アプリケーションサーバ、データベースサーバで構成される3階層アーキテクチャ内のWebサーバ)がホストされている。高トラフィック環境では、ロードバランサーがファイアウォールのインターネットインタフェースからの接続ハンドオフを全て処理し、最も負荷の少ないWebサーバにWebサーバへのトラフィックを振り分ける。アプリケーションサーバとデータベースサーバは、Web、アプリケーション、データベースの各階層間のアクセスを制限するアクセスルールが適用される別セグメントで運用される。
どちらの環境においてもファイアウォールサーバは主要な防御メカニズムとして機能し、どの資産にアクセスできるかをコントロールすると同時に、ネットワーク層において攻撃に対する基本的な防御機能を提供する。この従来形式のファイアウォールでは、浸透力が強いタイプのセキュリティ脅威に対する防御が十分ではない。こういった脅威は一般に、従来型のファイアウォールが防御対象としてきたネットワーク(第3層)の領域よりもアプリケーション(第7層)内の脆弱性に関連したものだ。これらの脅威に対処するために、企業およびホスティング施設で使用される従来のファイアウォール製品に対して、アプリケーションへの攻撃およびマルウェアによる脅威にターゲットを絞った製品による強化が施されている。
アプリケーション攻撃および新たなマルウェアに対抗する最新のファイアウォール配備シナリオを以下に紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.