Application Security の仕組み

Application Security は、開発ストリームやパフォーマンスへの影響を最小限に抑えて迅速に導入できるように構築されています。

Application Security 保護は、次の3種類の環境で追加できます。

• AWS Lambdaで実行されている機能を保護するレイヤとして
• Azure Functionsの自己保護機能を提供するエージェントとして
• Webアプリケーションパッケージに含まれるランタイム保護エージェントとして

Application Security layer for AWS Lambda

AWS Lambda で実行される機能は、AWS Lambdaの Application Security 層を利用して保護できます。 Application Security 層の保護は、コードを変更することなく数秒で設定できます。機能を保護するには、3つの主要コンポーネントを設定する必要があります。

• Security Groups：セキュリティグループは、サーバレス機能のコレクションに対するポリシーの共通セットを定義します。セキュリティグループには、サーバレス機能の複数のインスタンスを含めることができます。 Application Security 層がセキュリティグループに関連付けられていることを認証および承認するためのキーとシークレットがセキュリティグループに割り当てられます。詳細については、「Add a group」を参照してください。

• Layer： Application Security Layerは、開発コードを変更することなく、機能コードとライブラリを保護します。 Application Security LayerをAWS Lambda の関数で設定し、必要なキーを含めるだけです。詳細については、「AWS Lambda Configuration」を参照してください。

• Policies：ポリシーは、さまざまな脅威から機能を保護するルールの集まりです。 Application Security ポリシーによって保護される脅威は次のとおりです。

  • 不正なペイロード
  • SQLインジェクション
  • 不正なファイルアクセス
  • リモートでのコマンド実行
  • オープンリダイレクト
  • 不正なファイルのアップロード
  • IP保護

ポリシーが実行されると、 Application Security ダッシュボードに脅威の重大度を示すイベントが表示されます。詳細については、「 Configure a policy」を参照してください。

Azure Functionsのセルフプロテクション

Application Security エージェントを利用して、Azure Functionsで実行される関数を保護できます。 Application Security エージェントは、機能を追加して保護を追加するのにほんの少しの時間を要します。設定が必要なのは次の2つの主要コンポーネントのみです。

• セキュリティグループ：セキュリティグループは、サーバレス機能のコレクションに対するポリシーの共通セットを定義します。セキュリティグループには、サーバレス機能の複数のインスタンスを含めることができます。 Application Security エージェントをセキュリティグループに関連付けられているものとして認証および承認するためのキーとシークレットがセキュリティグループに割り当てられます。詳細については、「Add a group」を参照してください。

• Policies：ポリシーは、さまざまな脅威から機能を保護するルールの集まりです。 Application Security ポリシーによって保護される脅威は次のとおりです。

  • 不正なペイロード
  • SQLインジェクション
  • 不正なファイルアクセス
  • リモートでのコマンド実行
  • オープンリダイレクト
  • 不正なファイルのアップロード
  • IP保護

ポリシーが実行されると、 Application Security ダッシュボードに脅威の重大度を示すイベントが表示されます。詳細については、「 Configure a policy」を参照してください。

Azure Functions の関数セルフプロテクションでは、次の組み合わせがサポートされます。 - Python 3.6〜3.8のPythonプログラミング言語 - HTTPトリガ - Linux OS

Application Security ランタイム保護エージェント

エージェントをアプリケーションに追加するのに必要な時間はわずかで、開発コードを変更する必要はありません。アプリケーションを保護するには、次の3つの主要コンポーネントを設定する必要があります。

• セキュリティグループ：セキュリティグループは、一連の共通のポリシーを共有するWebアプリケーションやサーバレス機能の集まりです。セキュリティグループには、アプリケーションの複数のインスタンス、複数のアプリケーション、および/またはサーバレス機能を含めることができます。セキュリティグループには、セキュリティグループに関連付けられているエージェントを認証および承認するためのキーとシークレットが割り当てられます。詳細については、「Add a group」を参照してください。

• Agents： Application Security エージェントは、開発コードを変更することなく、アプリケーションと統合されたライブラリとして機能します。 Application Security エージェントをアプリケーションに含めて、アプリケーションキーで有効化するだけです。詳細については、「Install an agent」を参照してください。

• Policies：ポリシーは、さまざまな脅威からアプリケーションを保護するルールの集まりです。 Application Security ポリシーによって保護される脅威は次のとおりです。

  • 不正なペイロード
  • SQLインジェクション
  • 不正なファイルアクセス
  • リモートでのコマンド実行
  • オープンリダイレクト
  • 不正なファイルのアップロード
  • IP保護

ポリシーが実行されると、 Application Security ダッシュボードに脅威の重大度を示すイベントが表示されます。詳細については、「 Configure a policy」を参照してください。