4. 終わりに
5.2. Microsoft Azure の設定概要
Resource Group
Web アプリケーションサーバ
(1)
wordpress003(2)
wordpress004Azure Load Balancer (1)
設定サマリー(2)
Load balancing Rule55
(3)
Probe(ヘルスモニター)(4)
PoolSecurity Center からの F5 WAF 設定
Microsoft AzureのSecurity CenterからF5 WAFを展開する手順です。
(1)
Security Center上で、Applicationsをクリックします。(2)
AzureLB002に割り当てたPublic IPをクリックし、"Add a web application firewall"をクリックします。[Note]
本ガイドの状態では、wordpress003/004もPublic IPを持ったままなので、AzureLB002と合わせて3つのアプリケー ションがWAFを必要としている、というStatusになっていますが、本ガイドでは、AzureLB002に対してだけF5 WAFを適 用します。
wordpress003/004に関しては、Inbound Security Rulesを使って送信元IPを限定する、などの別の対策を行う、とい
←Security Center
クリック
クリック
クリック
57
(3)
Create Newをクリックし、F5 Networksをクリックします。(4)
Host名とPasswordを設定します。クリック
クリック
任意の名称を入力 ログイン用パスワード を入力
(5)
ライセンスを入力し、セキュリティレベルおよび対象アプリケーションタイプを選択します。生成完了まで約30分かかります。
(6)
F5 WAFのPublic IPがDNSで名前解決できるよう、設定します。ライセンスキー
(Registration Key)を入力 セキュリティレベルを選択 対象アプリケーションの タイプを選択
59
(7)
Security Centerで、再度Applicationsをクリックします。AzureLB002のPublic IPアドレスは、Statusがオレンジ色に変わっています。
"Pending WAF finalization"というステータスになっていて、WAF設定にまだ必要な処理が残っていることを示して
います。
※画面が期待した状態になっていない場合には、Webブラウザのリロードボタンを押して、ページの再読み込みを 行ってみてください。
(8)
Azure LBからF5 WAFのPublic IPへのアクセスに変更になるので、DNS設定の変更ができているか、という確認が行われます。
"I updated my DNS record"にチェックを入れ、「Restrict Traffic」をクリックします。
(9)
Security Centerで、再度Applicationsをクリックします。AzureLB002のPublic IPアドレスは、Statusがグリーンに変わっています。
WAFの適用が完了したことを示しています。
※画面が期待した状態になっていない場合には、Webブラウザのリロードボタンを押して、ページの再読み込みを 行ってみてください。
F5 WAFの設定は以上で完了です。
擬似攻撃(SQL インジェクション)
F5 WAFのVirtual Serverへアクセスして表示されたWordpressの画面で、SQLインジェクションを試みてみます。
61
(1)
ブロックされます。(2)
F5 WAFのログを確認すると、SQLインジェクションを検知&ブロックしていることが分かります。6. [Appendix-2] Resource Group 間の VPN 接続
2つのリソースグループ間を接続するには、以下の構成のように、AzureのVirtual Network Gatewayを使ってIPSec VPN接続する、という方法もあります。
この接続形態の場合には、Pool MemberのIPアドレスにPrivate IPアドレスを指定することができます。
以降、その方法を解説します。
注) ごくまれに、それぞれのResource Groupで同じSubnetが割り当てられている状態になっている場合があります。
その場合、VPN接続しても通信ができなくなるので、この設定に入る前に、それぞれのResource GroupのSubnetが異 なるものであることを確認してください。
63