パフォーマンスを低下させずにWebアプリケーションのセキュリティを確保するNetScaler

この内容をPDFで読む

[PDF] 総合的なアプリケーションセキュリティソリューション

はじめに

継続的なアプリケーションの可用性を実現するには、総合的なアプリケーション保護ソリューションが欠かせません。一般的なセキュリティのアプローチとしては、ネットワーク上にファイアウォールを設置し、インターネットを介したDoS(サービス不能)攻撃や、その他の侵入などの攻撃から防御するシステムを構築することが知られています。ファイアウォールは、トラフィックを検査し、予め許可された正しいトラフィックのみ通過させます。ところが、現在のアプリケーションに対するDoS 攻撃の80 パーセント以上は一般的なアプリケーションポートに対するものであり、従来のファイアウォールソリューションではそれらの攻撃を検出できずに通過させています。また正当なトラフィックサージであっても、現状のDoS 防御ソリューションでは、あらかじめ設定された最大量に達する前に要求がドロップするか、アプリケーション要求が他のサーバーにリダイレクトされる(バックアップ要件のコストが高くつく)ために、サーバーやサイト全体の可用性を低下させる恐れがあります。

総合的なアプリケーションセキュリティソリューションのもう1つの重要な部分は、アプリケーションコンテンツのセキュリティです。ビジネスクリティカルな機密情報を公衆ネットワーク上で交換する場合、不正なユーザーがこれらのコンテンツを傍受するという脅威が考えられ、これに対し、暗号化による保護を行うことができます。しかし、エンドツーエンドの暗号化処理ではパフォーマンスが懸念事項となります。

Citrix® NetScaler® の総合的なセキュリティ機能は、こうした課題に対して、DoS/DDoS 攻撃からの防御、アプリケーションレベルでの侵入防止、完全なハードウェアベースの暗号化によるサーバーのCPU 負荷のオフロードなどがあります。

SYN攻撃の防御

ネットワークレベルのDoS/DDoS 攻撃には、SYN 攻撃などTCP プロトコルを利用した攻撃のように、亜種がいくつかあります。NetScaler は、受信トラフィックを処理してSYN 攻撃から保護し、正しいトラフィックを高速に処理する専用の装置です。正しいトラフィックを最大限の効率で処理する、パフォーマンスの高い、業界で最も優れた保護機能を備えています。SYN 攻撃の防御の詳細については、Citrix.com の『NetScaler Application Security Guide』を参照してください。

コンテンツのフィルタリング

NetScaler は、HTTP GET 要求とPOST 要求を分析し、既知の不正なシグネチャをフィルターする不正侵入フィルターを備えています。NetScaler は、アプリケーションファイアウォール機能を備え、Nimda やCode Red の亜種などのHTTP ベースのウイルス攻撃だけでなく、ロングURL 攻撃やCGI オープンドア攻撃などの攻撃からも保護できます。コンテンツのフィルタリングの詳細については、Citrix.com の『NetScaler Application Security Guide』を参照してください。

GSLBを使用したディザスターリカバリ

NetScalerはGSLB(グローバルサーバー負荷分散)機能を持ち、あるサイトへのアクセスが不可能になった場合、トラフィックをバックアップサイトへリダイレクトします。NetScalerは複数のクラスタまたはサイトの状態を監視し、ネットワーク障害などの災害が発生した場合でも、アプリケーションの可用性を維持します。GSLBの詳細については、Citrix.comの『NetScaler Traffic Management Guide』を参照してください。