クラウドベースのWAF
現在、アーキテクチャにWebアプリケーションファイアウォール(WAF)を実装するためのさまざまなアプローチを評価しています。 PCI DSSのため、WAFが必要です。
クラウドベースのWAF(CloudFlareやIncapsulaなど)を使用したいと思います。しかし、それがPCIに準拠するかどうか、私にはいくつかの懸念があります。
セットアップは次のとおりです。
クライアント---> WAF --->オリジンサーバー
オリジンサーバー(Webサーバー)は、ソースIPアドレスをチェックしてサーバーを保護できます。ただし、送信元IPアドレスが偽装される可能性があるため、攻撃者はWAFをバイパスできます。
応答ごとに TCPハンドシェイクで偽造IPアドレスとのハンドシェイクを渡すことは可能ですか? レイヤー7の偽装( WAFは保護する必要があります)は理論的には可能ですが、実際には実現可能な攻撃ではないようです。
クラウドベースのWAF PCIに準拠していますか?
編集:この特定の質問に対して、CloudFlareがクライアント証明書認証を提供していることがわかりました。これは過去数日間に追加されました: https://blog.cloudflare.com/protecting-the-Origin-with-tls-authenticated-Origin-pulls/ しかし、他の質問は未回答のままです。
QSAは、アプリケーションレイヤーで動作するデバイスをバイパスするためにIPアドレスをスプーフィングできないことに満足していると思います。
CloudflareはPCIに準拠しているため、アクセスが正しいIP範囲に適切にロックダウンされていることを証明できる限り、これで問題ないはずです。
また、脆弱性の評価とWebインフラストラクチャのスキャンを少なくとも年に1回、展開のたびに行う場合(強調鉱山)、WAFは必要ありません。
6.6公開Webアプリケーションの場合、新しい脅威や脆弱性に継続的に対処し、これらのアプリケーションが次の方法のいずれかによって既知の攻撃から保護されていることを確認します。
手動または自動化されたアプリケーションの脆弱性セキュリティ評価ツールまたは方法を介して、少なくとも年に1回、および変更後に公開Webアプリケーションを確認する注:この評価は、要件11.2に対して実行された脆弱性スキャンと同じではありません。
すべてのトラフィックを継続的にチェックするために、公開されているWebアプリケーションの前にWebベースの攻撃(たとえば、Webアプリケーションファイアウォール)を検出および防止する自動化された技術ソリューションをインストールします。
PCIコンプライアンスはそれ自体が専門であるため、専門家に直接尋ねることをお勧めしますが、少なくともCloud FlareはPCIコンプライアンスを推奨しています。
https://blog.cloudflare.com/cloudflare-is-pci-certified/
彼らは認定を受けるためにいくつかの厳しいテストを受けたようですので、あなたが簡単な決定をしなければならない場合、あなたはかもしれないようです大丈夫ただし、プロセスについては絶対的な専門家に直接相談します。
完全な開示、私はIncapsulaで働いています。私たちはクラウドWAFプロバイダーです。
あなたの質問に答えるために
TCP偽造IPとのハンドシェイクを渡すには、ルーターを制御する必要があります。つまり、ISPのような位置にいる必要があります。詳細については、@ gowenfawrの回答 このディスカッション (OPにもリンクされています)つまり、理論的には可能ですが、TCPハンドシェイクを偽装して渡すことを許可するアクセスアドレスを使用すると、はるかに(はるかに)悪いことができるようになります。
はい、cloud-WAFはPCIに準拠できます。私たちの製品は、3年以上もそうでした。
https://www.incapsula.com/website-security/pci-compliance.htmlこれは、製品を使用して6.6の恐ろしい条項に準拠できることを意味します。これには、PCI準拠のWAFを使用するか、定期的にアプリケーションコードのレビューを行う必要があります(すべての更新後に)。