ホーム テクノロジー セキュリティ 非公開: 中小企業向けクラウドベースの Web アプリケーション ファイアウォール (WAF) のトップ 4

中小企業向けクラウドベースの Web アプリケーション ファイアウォール (WAF) のトップ 4


Trustwave によってテストされたアプリケーションの84%に 1 つ以上の脆弱性がありました。

Web の脅威の増加に伴い、オンライン ビジネスを中断せずに運用するために、Web アプリケーションを攻撃から保護するために適切なファイアウォールを設置する必要があります。

サーバー上に脆弱なファイル、プラグイン、ソフトウェア、または設定ミスがあると、セキュリティ リスクにさらされる可能性があり、経済的および評判が失われる可能性があります。

複数のオンライン ツールを使用すると、セキュリティの脆弱性やマルウェアを無料で見つけることができます。ただし、それらを修正したり保護したりするには、多少の出費が必要になります。

無料の Web アプリケーション ファイアウォール ( WAF ) である「Mod Security」について聞いたことがあるかもしれません。Apache、Nginx などの Web サーバーでそれを使用することを検討するかもしれません。Mod Security は Web サイトを適切に保護しますが、かなりのレベルの構成知識と継続的なメンテナンスが必要です。

メンテナンスや設定に頭を悩ませたくない場合は、クラウドベース セキュリティ プロバイダー ( CBSP ) を利用すると、Web サイトをオンラインの脅威から自動的に保護できます。

クラウドフレア

Cloudflare は、75% 以上の市場シェアを持つ CDN の大手企業であり、PRO プランで WAF を提供しています。 Cloudflare WAF は、OWASP トップ 10 の脆弱性からユーザーを保護し、次の種類の攻撃から自動的に保護します。

  • SQLインジェクション
  • スパム保護
  • XSS
  • DDoS攻撃
  • WordPress、Joomla などのアプリケーション固有の脆弱性
クラウドフレア-waf-1
クラウドフレア-waf-1

Pro プランでは、Cloudflare Rule Set と OWASP Mod Security Core Rule Set WAF をお楽しみいただけます。

このルール セットは、次の一般的なアプリケーションに対するネットワーク上で頻繁に検出される攻撃に基づいています。

  • アトラシアン
  • ドルパル
  • 閃光
  • ジョームラ
  • マジェント
  • PHP
  • プローン
  • ワードプレス
  • WHMCS

上記のルールセットに加えて、以下のような一般的なものを含む 80 以上の攻撃タイプに役立つ「 Cloudflare Special 」が用意されています。

  • 空のユーザーエージェント
  • Numbers ボットネット
  • SQLi プローブ
  • 砲弾ショック
  • Semalt クローラーをブロックする
  • SVG XSS の試行
  • Null Cookie ヘッダー
  • 偽の検索エンジン (Google、Baidu、Yandex) ボットのクロールを防止します
  • ブルートフォース攻撃

スクリ

SUCURIには、WebサイトセキュリティプラットフォームとWAFの2つのセキュリティサービスがあります。

WAF 保護だけをお探しの場合は、以下の内容をカバーする Sucuri Firewall 基本プランから始めることができます。

  • XSS (クロスサイト スクリプティング)
  • RCE (リモートコード実行)
  • SQLi (SQL インジェクション)
  • レイヤ 7 DDoS 保護
  • ブルートフォース保護
  • 侵入検知システム
  • 侵入防御システム
  • HTTP フラッド保護
  • 2FA、キャプチャ、パスワード保護
  • ブラックハッキングの試み
スクリワフ
スクリワフ

SUCURIは、WordPress、Joomla、Drupal、Magento、OSCommerce、vBulletin、phpBBなど、さまざまなプラットフォームをサポートしています。

アストラセキュリティ

Astra のセキュリティ ツール スイートには、オンデマンドのマルウェア スキャナー、VAPT ユーティリティ、ログイン アクティビティ、国/IP ブロックなどのその他の付随機能に加え、24 時間年中無休のアクティブな WAF が含まれています。

さらに、Astra はエンドポイント ファイアウォールであり、独自のサーバー上で完全に正常に動作します。したがって、他の場合に必要な DNS の変更について心配する必要はありません。

シンプルで直感的なダッシュボードには、脅威の概要が凝縮されており、攻撃を詳しく調べるための詳細ビューも表示されます。 Web サイトのセキュリティの確認と管理がかつてないほど簡単になりました。

Astra セキュリティには、Pro、Advanced、Business の 3 つの異なるプランがあり、次のような攻撃から保護します。

  • XSS (クロスサイト スクリプティング)
  • CSRF (クロスサイト リクエスト フォージェリ)
  • SQLi
  • LFI/RFI
  • スパム
  • 悪いボット
  • オワスプ トップ 10
  • RCE (リモートコード実行)
  • ブルートフォース保護
  • クレジットカードのハッキング
  • DoS と DDoS

Astra は、Web アプリケーションに強固なセキュリティを提供することに関して、まさにすべての基盤をカバーします。

スタックパス

StackPath は、サイトまたは API へのすべての受信リクエストを分析し、正当なトラフィックのみを許可します。エッジ ネットワークですべての悪者、ボット、スパム、悪意のあるリクエストを阻止します。

スタックパス-waf
スタックパス-waf

素晴らしいのは、設定するために何も知る必要がないことです。わかりやすいインターフェイスを通じて、すべてを事実上実行できます。そして、以下に示すように、OWASP トップ 10 だけでなく、独自の組み込みカスタム ルールも備えています。

StackPath を使用すると、複雑な要件に対応する独自のカスタム ルールを作成することもできます。たとえば、IP、国、URL/URI に基づいて許可またはブロックできます。以下を含むセキュリティ イベントに関するリアルタイムの洞察を確認できます。

  • 主な脅威の発生源とアクション
  • IP、アクション、国、タイムスタンプ、トリガーされたルールを含む詳細なイベント

繰り返しになりますが、新しい脆弱性を防ぐためのルールの管理は StackPath によって定期的に行われるため、心配する必要はありません。

いくらくらいかかるのか気になりますか? WAF の料金について簡単に説明します。

クラウドベースのセキュリティプロバイダー月額料金 (米ドルから)
スクリ$9.99
クラウドフレア20ドル
アストラセキュリティ$19

公式ウェブサイトでは随時セールを行っている可能性があるので、価格をチェックするのが賢明です。

Incapsula、AKAMAI、F5、Dyn、AWS など、他にも多くの WAF プロバイダーがありますが、それらはエンタープライズ以上のブロガーや中小企業に適しています。上記の WAF の実装には 10 分もかかりませんので、今すぐサイトを保護してください。

「中小企業向けクラウドベースの Web アプリケーション ファイアウォール (WAF) のトップ 4」についてわかりやすく解説!絶対に観るべきベスト2動画

WAF(Webアプリケーションファイアウォール)のバイパスについて解説