コンテンツにスキップ

Wallarm Node 5.x と 0.x の新機能

本ドキュメントはNGINX Node 5.xおよびNative Node 0.xのメジャーバージョン向けのチェンジログについて説明しています。古いメジャーバージョンからアップグレードされる場合、このドキュメントを参照ください。

Wallarm Nodeのマイナーバージョンに関する詳細なチェンジログについては、NGINX Nodeアーティファクト一覧またはNative Nodeアーティファクト一覧を参照してください。

APIセッション

NGINX Node 5.1.0以降およびNative Node 0.8.1以降

API経済に特化したユニークなセキュリティ機能、APIセッションを導入します。この機能により、攻撃、異常、及びAPI全体でのユーザー行動を可視化でき、ユーザーがAPIおよびアプリケーションとどのように連携しているかの透明性が向上します。

APIセッションセクション - 監視されるセッション

攻撃者は脆弱なエンドポイントを正当なユーザー行動に紛れ込ませることで悪用することが多く、そのセッション全体の文脈がなければパターンや脅威を特定することは、複数のツールやシステムを必要とする手間のかかる作業となります。組織はAPIレベルでの十分な可視性を持っていない場合があります。

APIセッションにより、セキュリティチームはユーザーセッションごとにグループ化されたすべての関連アクティビティを確認でき、攻撃シーケンス、ユーザーの異常、及び通常の動作を前例のない見通しで把握できます。従来、数時間または数日を要した調査を、Wallarm Console上で数分で実行できるようになりました。

主な特徴:

  • 攻撃、異常、及びユーザー行動の可視化:セッション内の各リクエストを閲覧・解析し、攻撃ベクターや疑わしいパターンを追跡します。

  • レガシーセッションと最新セッションの両方に対応:アプリケーションがクッキーセッションまたはJWT/OAuthに依存している場合でも、Wallarm APIセッションは完全な互換性と可視性を提供します。

  • 個別の攻撃とそれに対応するセッション間をシームレスに移動できます。

APIセッションを用いることで、セキュリティチームは容易に以下を実行できます:

  • 脅威アクターの全アクティビティを調査し、潜在的な攻撃経路や侵害されたリソースを理解します。

  • シャドウAPIやゾンビAPIへのアクセス状況を特定し、未文書化または旧式のAPIに起因するリスクを軽減します。

  • キーインサイトを同僚と共有し、セキュリティ調査時の協業を促進します。

続きを読む

APIセッションにおけるレスポンスパラメータ

NGINX Node 5.3.0以降、現在Native Nodeではサポートされていません

WallarmのAPIセッションは、ユーザーアクティビティのシーケンスの可視化を提供します。この機能追加により、各セッション内でリクエストだけでなくレスポンス情報も利用可能になりました:

  • どのヘッダーやレスポンスのパラメータでも、対応するリクエスト内に表示するよう設定でき、ユーザーアクティビティの明確かつ完全な全体像を提供します。

  • レスポンスパラメータをセッションのグループキーとして利用でき(参照)、リクエストをセッションに正確にグループ化できます。

APIセッション - グルーピングキー動作例

リクエスト処理時間制限における新機能

NGINX Node 5.1.0以降およびNative Node 0.8.1以降

Wallarmは、システムメモリ不足に陥り、ノードが停止してアプリケーションが保護されなくなるのを防ぐために、リクエスト処理時間を制限します。今回、このメカニズムの透明性が向上しました:

  • 制限超過のすべてのケースが記録され、即座にAttacksoverlimit_resイベントとして表示され、容易に特定・解析できます。

  • 制限超過が発生した場合、すべてのリクエスト処理が停止します。

  • システム動作の設定が容易になりました。一般設定はSettingsGeneralに表示され、そこで変更できます。

  • Limit request processing time(旧Fine-tune the overlimit_res attack detection)ルールは、特定のエンドポイント向けに異なる設定を適用できるよう簡略化されました。

API Discoveryにおける機微なデータ検出のカスタマイズ

NGINX Node 5.0.3以降およびNative Node 0.7.0以降

API Discoveryは、APIで利用および転送される機微なデータを検出し強調表示します。既存の検出プロセスを微調整し、独自の機微なデータパターンを追加できます。

パターンは、どの機微なデータがどのように検出されるかを定義するために使用されます。既定のパターンを変更し独自のものを追加するには、Wallarm ConsoleでAPI DiscoveryConfigure API DiscoverySensitive dataに移動してください。

API DiscoveryとAPIセッションにおける機微なビジネスフロー

NGINX Node 5.2.11以降およびNative Node 0.10.1以降

機微なビジネスフロー機能により、WallarmのAPI Discoveryは、認証、アカウント管理、請求など、特定のビジネスフローや機能に不可欠なエンドポイントを自動的に識別できます。

これにより、機微なビジネスフローに関連するエンドポイントの脆弱性や侵害に対する定期的な監視・監査が可能になり、開発、保守、およびセキュリティ対策の優先順位付けが実現されます。

API Discovery - 機微なビジネスフロー

識別された機微なビジネスフローはWallarmのAPIセッションに連携されます。つまり、API Discoveryで重要とタグ付けされたエンドポイントに対するセッションのリクエストがある場合、そのセッションは自動的にタグ付けされ、該当ビジネスフローにも影響を及ぼすと判定されます。

セッションに機微なビジネスフローのタグが割り当てられると、特定のビジネスフローでフィルタリングでき、解析する上で最も重要なセッションを簡単に選別できるようになります。

APIセッション - 機微なビジネスフロー

本格的なGraphQLパーサー

NGINX Node 5.3.0以降、現在Native Nodeではサポートされていません

本格的なGraphQLパーサーは、GraphQLリクエスト内の入力検証攻撃(例:SQLインジェクション)の検出を大幅に改善し、より高い精度と最小限の誤検知を実現する改善機能です。

主な利点:

  • 向上した検出:入力検証攻撃(例:SQLインジェクション)の検出能力

  • 詳細なパラメーターインサイト:GraphQLリクエストパラメータの値をAPIセッション内で抽出・表示し、セッションコンテキストパラメータとして活用します。

    APIセッション設定 - GraphQLリクエストパラメータ

  • 正確な攻撃検出:引数、ディレクティブ、変数など、特定のGraphQLリクエストコンポーネント内で攻撃を正確に特定します。

  • 高度なルール適用:特定のGraphQLリクエスト部分に対して細かい保護ルールを適用します。これにより、特定の攻撃タイプに対する除外設定の微調整と構成が可能になります。

    GraphQLリクエスト箇所に適用されたルールの例

コネクタおよびTCPトラフィックミラー向けNative Node

NGINXから独立して動作するWallarm Node向けの新たなデプロイメントオプション、Native Nodeを導入できることを嬉しく思います。本ソリューションは、NGINXが不要な環境やプラットフォームに依存しないアプローチが望まれる環境のために開発されました。

現時点では、以下のデプロイメント向けに最適化されています:

  • MuleSoft、Cloudflare、CloudFront、Broadcom Layer7 API Gateway、Fastlyコネクタ(リクエストおよびレスポンス解析対応)

  • Kong API GatewayおよびIstio Ingressコネクタ

  • TCPトラフィックミラー解析

続きを読む

NGINX Nodeテクノロジースタックの変更

Wallarm NGINX Node 5.xは、Rubyベースの実装からGo言語ベースの実装へと再設計されました。本リリースでは、現在および将来の開発に向けて、ソリューションをより高速でスケーラブルかつリソース効率の高いものにすることに注力しています。

メトリクス

具体的なメトリクスに関しては、Wallarmのpostanalyticsモジュールにおいて以下のパフォーマンス向上が実現されました:

  • CPU使用量は0.5コアから0.1コアに削減されました。

  • 秒間500リクエストのトラフィック時に、メモリ使用量が400MB削減されました。

ファイルシステムの変更

テクノロジースタックの変更に伴い、NGINX Nodeアーティファクトのファイルシステムは以下のように変更されました:

  • ログファイルシステム:以前は、各専用スクリプトごとに複数のファイルにログが記録されていました。現在、ほぼすべてのサービスのログは単一の専用ファイルwcli-out.logに記録されます。過去のログファイルの一覧はこちら、現在のログファイルはこちらで確認できます。

  • 診断スクリプトのパス変更:/opt/wallarm/usr/share/wallarm-common/collect-info.shファイルは/opt/wallarm/collect-info.shに移動されました。

さらなる機能の導入

NGINX Node 5.2リリース以降、新機能は新しいGoベースの実装を採用したノードでのみ導入され、以前のバージョン(4.10)にはバックポートされません。

バージョンポリシーの変更

NGINX Nodeのテクノロジースタックの更新およびNative Nodeの導入に伴い、Wallarm Nodeバージョンポリシーが更新されました:

  • Wallarmは、最新のマイナーバージョンを含む、直近2つのメジャーバージョンをサポートします。

  • 2リリース前のバージョン(例:6.xから4.x)のサポートは、新しいメジャーバージョンのリリースから3ヶ月後に終了します。

  • メジャーバージョンは6ヶ月ごと、または重要な新機能や破壊的変更がある場合にリリースされます。

  • マイナーバージョンは毎月リリースされ、既存機能の強化に注力(+1インクリメント)しています。

  • Native NodeもNGINX Nodeと同様のバージョン管理パターンに従い、同時リリースおよび機能のパリティを保っています。ただし、Native Nodeのメジャーバージョン番号は0から始まります。

アップグレードが推奨されるWallarmノードはどれですか?

  • クライアントおよびマルチテナントのWallarm NGINX Node 4.8および4.10は、Wallarmリリースに追随し、インストール済みモジュールの非推奨化を防ぐためにアップグレードが推奨されます。

  • サポート外のバージョン(4.6以下)のクライアントおよびマルチテナントのWallarmノードです。

もしバージョン3.6以下からアップグレードする場合は、別途の一覧ですべての変更点を確認してください。

アップグレード手順

  1. モジュールアップグレードに関する推奨事項を確認します。

  2. ご利用のWallarmノードデプロイメントオプションに応じた手順に従って、インストール済みモジュールをアップグレードします:

Wallarm製品およびコンポーネントのその他の更新情報 →