仮想環境およびクラウド環境向けの高性能ウェブアプリケーションセキュリティ
分散型ウェブアプリケーションファイアウォールによりアプリケーションを保護する
Pulse vWAF と連携した防御
Pulse vWAF は、一般的に入手可能なアプリケーションやカスタムアプリケーション(サードパーティフレームワークを含む)に対し、拡張性のあるアプリケーションセキュリティを提供します。オンライントラフィックにビジネスルールを適用し、SQL インジェクションやクロスサイトスクリプティング(XSS)などの攻撃が発生していないか調査、ブロックし、送信トラフィックとデータをフィルター処理し、クレジットカードデータをマスクします。 Pulse vWAF は、PCI-DSS 要件の遵守に役立ちます。
- 非常に大きな拡張性:ダイナミックに拡大/縮小することでグローバルアプリケーションを保護し、ハイブリッドなクラウドプラットフォームにわたってクラスター化します。
- プラットフォーム間の移植性:ハイブリッドクラウド環境、ソフトウェア環境、仮想環境にわたって分散型セキュリティポリシーを展開します。
- 迅速な対応:デュアルモードの「検出と保護」操作でポリシーを改善し、誤検出と混乱を最小限に抑えます。
クラウド
アプリケーション
Pulse vWAF (一般的に入手可能なアプリケーションおよびカスタムアプリケーションを保護するための、スケーラブルな分散アプリケーションセキュリティプラットフォーム)で、アプリケーションを保護する方法について説明します。
重大なウェブ脆弱性に
対して保護する
ビジネスルールを適用して OWASP Top 10 プロジェクトなどに示されている攻撃をブロックすることによって、Pulse vWAF が重大なセキュリティリスクからアプリケーションを保護する方法について説明します。
属性ベースの認証
Pulse vADC と Pulse vWAF を使用して、ユーザーおよびデバイスの認証を補完するアクティブなセキュリティを設定し、強化されたアプリケーションセキュリティを構築します。
vWAF データシート
アプリケーションレベルのセキュリティのためのスケーラブルな Pulse ソリューションを見つけます。
複雑なアプリケーションにはダイナミックな保護が必要
今日の複雑なアプリケーションはハッカーの格好の標的です。お客様のアプリケーションやセキュリティのチームは、今日のダイナミックな IT 環境ではアプリケーションの脆弱性を解決するのが難しいと感じている可能性があります。
進化するアプリケーションセキュリティ(AppSec)
次は何でしょう?新たな攻撃ベクトルは常に出現しています。アプリケーションが進化するにつれ、潜在的な脆弱性も進化し、これらは露出されます。特定されたセキュリティ脆弱性の修正には時間がかかることがあります。場合によっては、エラーの場所の特定、パッチの作成、修正の展開には、とてつもない費用がかかることがあります。
鈍い性能のツール
どのようにすれば誤検出を減らせますか?従来のアプリケーションセキュリティツールは、柔軟性のない規則を使用して悪意のある行為を検出することに、焦点を合わせていました。この方法は、多くの誤検知につながる可能性があります。各タイプの活動に対する対処にはより柔軟性が求められ、アプリケーションの各部の個々のポリシーを調整する能力が必要です。
長時間の攻撃への露出
重大な脆弱性を閉じるのにどれぐらい時間がかかりますか?開発者は、納期を守り、顧客のデータを保護するというプレッシャーを受けています。ソフトウェアベンダーは多くの場合、キャンペーンの期限や製品のリリースサイクルに追従できる十分な迅速さで、パッチを提供できません。
重要なアプリケーションへのスケーラブルなセキュリティ
Pulse vWAF は、業界のベストプラクティスをサポートするように設計されたウェブアプリケーションファイアウォールです。モジュール方式のアーキテクチャにより、次世代アプリケーションやハイブリッドクラウドの展開に最適です。
事前予防的なセキュリティツール
オンライントラフィックにビジネスルールとセキュリティポリシーを適用し、SQL インジェクションやクロスサイトスクリプティングなどの攻撃が発生していないかを調べてブロックし、送信トラフィックをフィルター処理し、クレジットカードデータをマスクします。
ハイブリッドセキュリティファブリック
ラボから、データセンター、ハイブリッドクラウドへと続く経路を追跡できるセキュリティポリシーを定義できます。管理ツール共通セットと単一のコンソールを使用し、複数のテクノロジープラットフォームにわたるアプリケーションを保護します。
仮想パッチの適用
サードパーティ製脆弱性スキャナーからルールセットの推奨事項をインポートするか、自動学習を使用して新しい推奨事項を発見することにより、アプリケーションの脆弱性を迅速に閉じます。SQL インジェクションやクロスサイトスクリプティングなどの一般的な脆弱性には、ベースライン更新を適用できます。
主な機能
非常に大きな拡張性
非常に大きな拡張性
ダイナミックに拡大/縮小してグローバルアプリケーションを保護し、ハイブリッドクラウドプラットフォームにわたってクラスター化します。
プラットフォーム間の移植性
プラットフォーム間の移植性
ハイブリッドクラウド、ソフトウェア、仮想などにわたって分散型のセキュリティポリシーを展開できます。
迅速な対応
迅速な対応
アプリケーションの脆弱性を迅速に閉じて、グローバルアプリケーションに仮想パッチを適用します。
デュアルモードの検出と保護
デュアルモードの検出と保護
ポリシーを調整して誤検出を最小限に抑える自動手段
自動学習
自動学習
適応学習により、セキュリティチームはポリシーを管理しやすくなります。
委託管理
委託管理
アプリケーションチームが特定のドメインを個別に管理するための、セキュアアクセス。
PCI DSSコンプライアンス
PCI DSSコンプライアンス
コンプライアンスの役に立つために、ベースラインおよびアプリケーション固有のポリシーをレビューするPCI監査者のロール。
SIEM統合
SIEM統合
セキュリティワークフローおよびSIEMと連動します。
-
概要
-
主な機能
-
ユースケース
-
展開
-
メリット
Pulse vWAFは、オンライントラフィックにビジネスルールを適用し、SQLインジェクションやクロスサイトスクリプティングなどの攻撃が発生していないかを調べてブロックし、送信トラフィックをフィルター処理し、クレジットカードデータをマスクします。
着信リクエストの保護
Pulse vWAFは、アプリケーションに割り当てられたルールセットに対して、各リクエストを受信して分析し、以下のアクションのどれを実行するかを決定します。
- 許可されたリクエストはアプリケーションに渡されます
- 既知の攻撃と識別されたリクエストは拒否され、攻撃者の追跡に役立つ情報と共にログに記録する
- すぐに分類できないリクエストは、拒否するように設定されるか、アプリケーションに渡されるかか、今後の分析のためにキャプチャされます
送信データの保護
Pulse vWAFは、クライアントに返される発信応答も監視します。最初の不正な形式の要求が成功した場合でも、機密情報を応答から除外して、データの漏洩(DLP)を防ぐことができます。Pulse vWAFは、アプリケーションの動作とトラフィックパターンを監視して、保護を最適化し、追加のポリシーを推奨する手助けをします。
事前予防的なアプリケーションセキュリティ機能
クロスサイトスクリプティング(XSS)
- ユーザーが生成した入力の検証
- 疑わしいXSSペイロードを除外する
- 特定のXSSパターンでトリガーするカスタムルールを作成する
インジェクションの欠陥
- データベースまたはスクリプト内で悪意のあるコードを実行する試みを検出する
- 通常、SQL、LDAP、Shellなどのベクトルを介する
- アプリケーション固有のパターンを探すように、カスタムルールを設定できる
機密データをマスクする
- 転送中のデータの暗号化を実行する
- データ漏洩に対して発信トラフィックをフィルタ処理する
- SSN、クレジットカード情報などの機密データをマスクする
アプリケーションエントリポイントを保護する
- 承認されているエントリポイントでユーザーセッションが確実に開始されるようにする
- アプリケーションへのディープリンクを防止し、エントリポイントと認証ステップを適用する
セッション管理を保護する
- セッションクッキーやトークンなどの弱いリンクを介してユーザーデータおよびセッションデータが露出されないように保護する
- ユーザーセッションのタイムアウトおよびセッションの制限のコントロールを適用する
- 弱いセッションクッキーを交換して、セッション管理の安全性を高める
ベースライン保護
- ベースライン保護ウィザードによってポリシーの更新が簡単になります
- 既知の脆弱性および攻撃は、ブラックリストおよび/または正規の表現によって定義されます
- ルールまたはポリシーがトリガーされると、リクエストはアプリケーションを露出することなく拒否されます
リダイレクト攻撃と転送攻撃
- 完全に適格な URL を適用して、望ましくないリダイレクトから保護します
- マルウェアまたはフィッシング攻撃をトリガーするために使用される、リダイレクト基準の弱い検証から保護します
- 攻撃をトラップするために、優先リダイレクトターゲットを定義します
重要なアプリケーションのための機敏なセキュリティ
Pulse vWAFは、スケーラブルなウェブアプリケーションファイアウォール(WAF)ソリューションでの透過的で安全なセッション管理やフォームフィールドの仮想化などのリアルタイムポリシー適用によって、アプリケーションに掘り下げた防御をもたらします。
- PCI DSSコンプライアンス:Pulse Secure vWAFは、クレジットカード支払いを管理する組織にとって主要な標準であるPCI DSSの遵守に役立ちます。Pulse vWAFは、PCI DSS 6.6の要件を満たすのに役立つだけではなく、すべてのアプリケーションの固有の攻撃を検出して防止するために、追加のセキュリティポリシーを簡単に設定できます。
- データ漏洩保護(DLP):社会保障番号、名前、カード番号、およびその他の機密情報などのデータの特定のパターンを識別することにより、組織の外に送信されたときに機密データの詳細を隠すために、発信送信トラフィックをフィルタ処理します。Pulse vWAFは、SSL/TLS暗号化を適用して送信中のデータを保護することもできます。
- 高速開発:機敏なプロセスやDevOpsプロセスに事前予防的なセキュリティ遮蔽を提供することにより、アプリケーション開発が加速されます。Pulse vWAFは、セキュリティおよび規制コンプライアンスを維持するニーズにより、迅速になっている革新と成長のバランスをとるために必要な追加のセキュリティレイヤーを提供します。
展開
Pulse vWAFは、展開オプションの範囲全体に対応しており、お客様は自社のアーキテクチャとアプリケーションのリスクプロファイルに最適なものを選択できます。Pulse vWAFは、ウェブサーバー上の仮想アプライアンスとして展開することや、データセンターやクラウドプロバイダーの物理的アプライアンスとして展開することも、複雑なアプリケーションのセキュリティとコントロールを強化するためのPulse Virtual Traffic Manager(vTM)との統合パッケージとして展開することもできます。
さらに、Pulse Secure vWAFは、既存のロードバランサーおよびADCと併用するように設計れているスタンドアロンパッケージとしても使用できます。Pulse Secure vWAFがとりわけ適しているのは、アプリケーションアーキテクチャを変更せずにクラウドアプリケーションにアプリケーションレベルのセキュリティを追加するクラウド展開です。
Pulse vADC との統合
最も評判の良い種類の展開であるPulse vWAFは、Pulse Access Suiteに含まれています。
サードパーティロードバランサー用のスタンドアロンvWAF
スタンドアロンの仮想アプライアンスとして使用できるPulse vWAFは、一般に既存のADCまたはロードバランサーデバイスと一緒に展開されます。
完全分散型のvWAF
Pulse vWAFは、完全な柔軟性がある、完全に分散されたマイクロサービスアーキテクチャを提供する、ウェブサーバープラグインとして実装できます。
アプリケーション対応ポリシーの適用
Pulse vWAFでは、ポリシーをきめ細かにコントロールすることによって誤検知を最小限に抑え、特定のワークフローを実施し、アクセスをリダイレクトしてURLの改ざんを防止できます。
- 独自のスケーラブルなアーキテクチャ:クラウド内の最も大きいグローバルアプリケーションの要件を満たすために規模を拡大、またはアクセスゲートウェイの管理ポートを保護するために規模を縮小します。クラスタリングによってスケールアウト、単一のインスタンスで複数のアプリケーションを共同ホストします。
- 委任および分散された管理:特定のアプリケーションまたは
ドメインのセキュリティ設定の委任をサポートする、一元化されたポリシー管理とレポート。。 - 脆弱性を10倍速く解決する:サードパーティアプリケーションの仮想パッチを作成するか、外部ツールからルールと推奨事項をインポートするか、または自動学習を使用して、アプリケーションの動作に関する推奨事項と洞察を展開します。
お客様の声
「私たちは毎日 TrafficScriptで社内テストで使われるヘッダを削除するなどの作業を行っているので公開されません。その利点は、Pulse Secure vADC が処理できることで開発チームを悩ませることがない点です。」
技術担当部長、Fusebill
「Pulse Secureで、当社は機密データをロックでき、PCI DSSコンプライアンスを満たすことができます。」
開発部長、ギルト・グループ
