Microsoft Defender for APIsとWeb Application Firewallのどちらかを使うか、両方使うか

このエントリは2023/12/24現在の情報に基づいています。将来の機能追加や変更により、記載内容からの乖離が発生する可能性があります。

問い合わせ

いつもの人から、以下のような問い合わせをもらった(いずれもドキュメントに記載があるので、ちゃんとドキュメント読んでくれ、とは思う…)。

Q1

現在Web Application Firewall (WAF) を使って外部公開しているAPIの保護をしている。最近Microsoft Defender for APIs (Defender for APIs) が一般提供されたようだが、これって両方使う必要があるのか、WAFのみ、もしくはDefender for APIsだけで用が足りるのか?

A1

Web アプリケーション ファイアウォール (WAF) はアプリケーションの保護に非常に役立つソリューションですが、API の完全なセキュリティを提供しない場合があります。 WAF は、一貫したトラフィック パターンを持つアプリケーションに効果がある、一般化された保護対策 (ディクショナリ、パターン、署名のマッピングなど) を適用するように設計されています。 しかし、API は各アプリケーションに固有であり、動的に変化する性質を持つため、WAF によって提供される抽象的な保護の効果を低下させます。
API にはさまざまな要求および応答のペイロードが含まれ、各コンシューマーは独自の方法でそれらのペイロードを操作します。 WAF で使用される一般的なディクショナリ、パターン、および署名のマッピングでは、独自性が原因で API の完全で徹底的な保護が適切に提供されない可能性があります。 SQL インジェクション攻撃の検出と防止など、重複が存在する場合もありますが、API には、より詳細なセキュリティ対策が必要になることが多々あります。
API に必要なセキュリティ レベルを実現するには、Microsoft Defender for APIs などのソリューションがお勧めです。 Defender for APIs は、機械学習アルゴリズムを使用して API ロジックを学習および理解することで、より正確で効果的なセキュリティ対策を可能にするコンテキスト理解を実現します。 この詳細なレベルの保護により、さまざまな脅威から API を保護でき、組織に対してより高いレベルのセキュリティが確保されます。

API をセキュリティで保護するために Azure WAF で十分ですか? / Is Azure WAF sufficient for securing APIs?
https://learn.microsoft.com/azure/defender-for-cloud/faq-defender-for-apis#is-azure-waf-sufficient-for-securing-apis

Q2

Defender for APIsではどんなアラートを出してくれるのか?

A2

以下のドキュメントにある通り。脅威検出はできるが、アクセス遮断をするわけではない(やりたければ検知アラートをトリガーにWAFの構成を変える、などの仕組みが必要)。

Defender for API のアラート / Alerts for Defender for APIs
https://learn.microsoft.com/azure/defender-for-cloud/alerts-reference#alerts-for-defender-for-apis

Q3

Defender for APIsはAPI Management (APIM) で確保しているリソース(CPU、メモリ)に何らかの影響をするか?

A3

Defender for API の監視対象を有効にするには、Azure API Management サービスでのコンピューティングとメモリ使用量が必要です。 API のオンボード中に Azure API Management サービスのパフォーマンスを監視し、必要に応じて Azure API Management リソースをスケールアウトします。

Defender for API への API のオンボードは、Azure API Management サービスに影響しますか? / Does onboarding APIs to Defender for APIs affect my Azure API Management service?
https://learn.microsoft.com/azure/defender-for-cloud/faq-defender-for-apis#does-onboarding-apis-to-defender-for-apis-affect-my-azure-api-management-service

Q4

で、どっちも使うべき?Defender for APIsだけでよい?

A4

APIセキュリティやAPI保護をどう考えるか、次第ではあるが、個人的にはWAFとの組み合わせ利用を強く推奨する。Defender for APIsでアラートを出し、WAFでブロックしたいということであれば、なおのこと両方利用すべき(APIMのIP FilteringポリシーはInbound sectionの設定変更を伴うので時間がかかりすぎる)。
Defender for APIsのアラートをトリガーに、公開APIをオフラインにすればよい、という判断なら、確かにWAFとの組み合わせは必須ではない。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください