今日はなにの日。

気になったこと勉強になったことのメモ。

今日は、OCI Security Associateのアプリケーションスキルチェック復習の日。

目次

とある日

Japanese: Become a Cloud Security Associate: 日本語 | Learn Oracle | Oracle University

Oracle Cloud Infrastructure Security 2021 Associate (Japanese) (1Z0-1104-21-JPN)スキルチェックの復習です。

Oracle Cloud Infrastructure Security 2021 Associate (Japanese) (1Z0-1104-21-JPN)認定試験に向けて勉強しています。

インフラのアプリケーションのセキュリティ項目で出てきたキーワードを調べてまとめた内容です。

ボット管理

ボット管理では、CAPTCHAおよびJavaScript検出ツールを使用して、サイトにおける望ましくないボット・トラフィックを緩和できます。一方で、公開されている既知のボット・プロバイダは、これらの制御をバイパスできます。

JavaScriptチャレンジ

JavaScriptチャレンジは、クライアントがバイナリ決定でJavaScriptを受入れできることを検証します。JavaScriptチャレンジは通常は第1レベルのボット緩和ですが、より高度なボット・ツールではさらに高度なボット・ツールが必要となるため、より高度なチャレンジが必要です。ネットワーク・アドレス変換(NAT)トラフィックの検出などの多くの機能を使用すると、共有IPアドレスの背後でユーザーからの正当なユーザー・トラフィックがブロックされるリスクを緩和できます。

OCI技術資料 : Web Application Firewall (WAF) 概要 - Speaker Deck

ヒューマン・インタラクション・チャレンジ

ヒューマン・インタラクション・チャレンジは、マウス移動、サイト滞在時間、ページ・スクロールなど、人間の自然な操作を検索してボットを識別する高度な対応策です。エッジ・サーバーがクライアントからリクエストを受信すると、リクエストされたコンテンツで即時にレポートを作成するのではなく、ヒューマン・インタラクション・チャレンジはユーザーのブラウザの様々なイベント・リスナーをチェックして、ヒューマン・ユーザーがリクエストを実行しているかどうかを確認します。

OCI技術資料 : Web Application Firewall (WAF) 概要 - Speaker Deck

デバイスのフィンガープリント・チャレンジ

バイスのフィンガープリント・チャレンジでは、悪意のあるボットを識別してブロックするために、仮想ブラウザと実ブラウザの両方でハッシュ化された署名を生成します。

OCI技術資料 : Web Application Firewall (WAF) 概要 - Speaker Deck

CAPTCHAチャレンジ

特定のURLに人間のみがアクセスできるようにする必要がある場合は、CAPTCHA保護でそれを制御できます。URLごとに、CAPTCHAチャレンジのコメントをカスタマイズできます。コンピュータ・ビジョンやOCRテクノロジを利用できないように設計されたCAPTCHAイメージを使用して、保護されたWebアプリケーション機能にボットからアクセスできないようにします。

OCI技術資料 : Web Application Firewall (WAF) 概要 - Speaker Deck

アドレス・レート制限

アドレスレート制限構成では、一意のIPアドレスから許可されるリクエストの数とそのしきい値を超えた場合のブロック・レスポンス・コードを定義します。

OCI技術資料 : Web Application Firewall (WAF) 概要 - Speaker Deck

WAFポリシー

作成、更新および削除を含むWebアプリケーション・ファイアウォール(WAF)ポリシーの概要を提供します。

WAFポリシーには、アクセス・ルール、レート制限ルール、保護ルールなど、WAFサービスの全体的な構成が含まれます。

作成、編集、削除、別のコンパートメントへの移動など、WAFポリシーを管理できます。また、指定したコンパートメント内のすべてのWAFポリシーをまとめて表示することも、特定のポリシーの詳細を取得することもできま

WAFポリシー管理

キャッシュ・ルール

キャッシュ・ルールを使用すると、Webページや特定のファイル・タイプなど、リクエストされたコンテンツをOracle Cloud Infrastructureのエッジ・サーバー上に選択的にキャッシュできます。

URL_IS

リクエストされたURLパスと問合せを連結したものがvalueフィールドのコンテンツと同じである場合は、一致します。たとえば、このルールがwww.example.com/productsのコンテンツをキャッシュするように設定されている場合、www.example.com/productsに対するHTTPリクエストのみがキャッシュされます。

URL_STARTS_WITH

リクエストされたURLパスと問合せを連結したものがvalueフィールドのコンテンツで始まる場合は、一致します。たとえば、このルールがwww.example.com/productsのコンテンツをキャッシュするように設定されている場合、www.example.com/productsで始まるURLをリクエストするすべてのHTTPリクエストはキャッシュされ、後続のリクエスト(www.example.com/products/new-productwww.example.com/products/old-productに対するリクエストを含む)は、キャッシュからコンテンツを受け取ります。

URL_PART_ENDS_WITH

リクエストされたURLパスと問合せを連結したものがvalueフィールドのコンテンツで終わる場合は、一致します。たとえば、ルールが/product.jpgで終わるURLからのコンテンツをキャッシュするように設定されている場合、URL www.example.com/products/new-product/product-banner.jpgおよびwww.example.com/products/old-product/product-banner.jpgに対するHTTPリクエストはキャッシュされ、後続のリクエストはキャッシュからコンテンツを受け取ります。

URL_PART_CONTAINS

リクエストされたURLパスと問合せを連結したものにvalueフィールドのコンテンツが含まれる場合は、一致します。ルールが/product-bannerを含むURLからのコンテンツをキャッシュするように設定されている場合、URL www.example.com/products/new-product/product-banner/blue.jpgおよびwww.example.com/products/new-product/product-banner/red.jpgに対するHTTPリクエストはキャッシュされ、後続のリクエストはキャッシュからコンテンツを受け取ります。

オリジン管理

オリジンとは、WAFによって保護されているアプリケーションのエンドポイント(通常はIPアドレス)のことです。オリジンには、オリジンへの高可用性を実現するために使用できるOracle Cloud Infrastructureロード・バランサのパブリックIPアドレスを指定できます。WAFポリシーを作成する場合、デフォルトのオリジンおよびオプションのHTTPヘッダーを定義します。保護ルールまたはその他の機能を設定するには、WAFポリシー内にオリジンを定義する必要があります。オリジンの詳細は、後でWAFポリシーの設定で変更できます。オリジン設定では、WAFからオリジン・サーバーへのアウトバウンド・トラフィックのHTTPヘッダーを変更または設定できます。これにより、これらの名前/値ペアがアプリケーションで使用可能になります。

オリジン・グループ

オリジン・グループを使用して、WAFポリシーに複数のオリジンを定義できます。2つ以上のオリジンを構成すると、ロード・バランシングが有効になります。オリジン・グループ内の複数のオリジンをグループ化できます。オリジン・グループには、オリジン・サーバーとその重みを含めることができます。オリジン・グループ内の各オリジンの重みによって、このグループ内のオリジン間でロード・バランシングを行う際の優先度が決まります。重みの高いオリジンは、より大きい割合のクライアント・リクエストを受信します。オリジン・グループでは、すべてのオリジンがアクティブです。グループ化は視覚的な目的でのみ使用されます。

WAF保護ルール

保護ルールは、Webトラフィックとルール基準を照合し、条件が満たされたときに実行するアクションを決定します。「保護ルールの設定」では、保護ルールに一致したときに実行する処理を示すパラメータを定義できます。推奨は、WAFセキュリティ・プロファイルの最適化に役立ちます。Security Operationsチームは、すべてのイベントをプロアクティブにモニターして、特定のルールセットのアクションに関する推奨を提供します。