WallarmのOut-of-Bandデプロイメントの概要¶
Wallarmは、トラフィックのミラーを介してリクエストを検査するセルフホストのOut-of-Band(OOB)型セキュリティソリューションとしてデプロイできます。本記事では、このアプローチについて詳しく説明します。
OOBアプローチでは、Wallarmソリューションを別のネットワークセグメントに配置し、プライマリのデータパスや、その結果としてのアプリケーションの性能に影響を与えることなく受信トラフィックを検査します。悪意のあるものを含むすべての受信リクエストは、宛先のサーバーに到達します。
ユースケース¶
トラフィックミラーリングはOOBアプローチの重要な要素です。受信トラフィックのミラー(コピー)がWallarmのOOBソリューションに送られ、ソリューションは実際のトラフィックではなくコピー上で動作します。
OOBソリューションは悪意のあるアクティビティを記録するだけでブロックはしないため、リアルタイム保護の要件がそれほど厳しくない組織におけるWebアプリケーションおよびAPIセキュリティの実装に有効です。OOBソリューションは次のユースケースに適しています。
-
アプリケーション性能に影響を与えることなく、WebアプリケーションとAPIが遭遇し得る潜在的な脅威をすべて把握します。
-
モジュールをインラインで実行する前に、トラフィックのコピーでWallarmソリューションを学習させます。
-
監査目的でセキュリティログを取得します。Wallarmは多くのSIEMシステムやメッセンジャーなどとネイティブ連携を提供します。
下の図は、WallarmのOut-of-Bandデプロイメントにおける一般的なトラフィックフローを視覚的に示します。図は考え得るすべてのインフラストラクチャのバリエーションを網羅しているとは限りません。トラフィックのミラーは、インフラストラクチャのサポートされている任意のレイヤーで生成し、Wallarmノードに送信できます。さらに、特定のセットアップでは、ロードバランシングやその他インフラストラクチャレベルの設定が異なる場合があります。
利点¶
WallarmのデプロイにおけるOOBアプローチには、インラインデプロイメントなど他のデプロイ方法と比べていくつかの利点があります。
-
セキュリティソリューションがプライマリのデータパスとインラインで動作する際に発生し得る遅延やその他の性能問題を引き起こしません。
-
プライマリのデータパスに影響を与えることなくネットワークにソリューションを追加したり削除したりできるため、柔軟性と展開の容易さを実現します。
制限事項¶
OOBデプロイメントアプローチは安全ですが、いくつかの制限があります。以下の表に、各デプロイオプションに関連する制限を示します。
| 機能 | eBPF | TCPミラー |
|---|---|---|
| 悪意のあるリクエストの即時ブロック | - | - |
| パッシブ検出を使用した脆弱性の発見 | - | + |
| API Discovery | +(レスポンス構造を除外) | + |
| 強制ブラウジングからの保護 | + | + |
| Rate limiting | - | - |
| IP lists | - | - |
サポートされるデプロイオプション¶
Wallarmは次のOut-of-Band(OOB)デプロイオプションを提供します。
-
TCPトラフィックミラー解析のためのソリューション