セキュリティ脅威保護アサーション

gateway83
セキュリティ脅威保護アサーションは、一般的な Web サービスおよび XML セキュリティ脅威からの保護に役立ちます。
このカテゴリには、カスタム作成のカプセル化されたアサーションが含まれることもあります。 詳細については、「カプセル化されたアサーション」を参照してください。
自動セキュリティ脅威保護
脅威保護アサーションの使用に加えて、
Layer7 API Gateway
には、さまざまなセキュリティ脅威保護が組み込まれています。これには以下からの保護が含まれます。
TCP/IP ベースの攻撃
強制解析および XML Bomb 攻撃
外部エンティティ攻撃
スキーマ ポイゾニング
WSDL スキャン
XML ルーティングの変更
組み込み保護がリクエストに適用されるようにするには、サービス ポリシーにリクエスト本文にアクセスするアサーションが 1 つ以上含まれている必要があり、それには Protect Against Document Structure Threats アサーションが最もよく使用されます。 (セキュリティ脅威保護関連アサーションを使用する必要はありません、リクエスト本文にアクセスするアサーションで十分です)。
TCP/IP ベースの攻撃
Layer7 API Gateway
は、ICMP フラッド、SYN フラッディング、「Ping of Death」、およびさまざまなルーティング リダイレクト型攻撃などのすべての一般的な TCP/IP ベースの攻撃から保護します。
パケット レベル攻撃は、
Layer7 API Gateway
のデフォルト OS レベル設定によって(特にデフォルト ファイアウォール設定によって)処理されます。
パケット レベル攻撃はログに記録されません。
強制解析および XML Bomb
強制解析攻撃は、レガシー システムを既存のインフラストラクチャ内の XML コンポーネントとリンクするために使用される「追加」インターフェースを利用しようとします。 この攻撃は、システムの処理能力に過剰な負荷をかけたり、悪意のあるモバイル コードをインストールしようとします。
この攻撃は「DTD エンティティ拡張攻撃」とも呼ばれます。 SOAP 仕様に従って、SOAP メッセージには DTD 宣言が含まれていてはいけません。
Layer7 API Gateway
は、ポリシー処理を開始する前にDTD 宣言が含まれるメッセージを終了することにより、そのメッセージがパススルーしないようにできます。 DTD 宣言をブロックするには、Protect Against XML Document Structure Threats アサーションがサービス ポリシー内またはグローバル ポリシー フラグメント内に存在することを確認します。
技術的な観点から、XML パーサは DOCTYPE 宣言を許可しません。 パーサに DOCTYPE が含まれるメッセージが出現すると、パーサはエンティティを展開せずに解析を終了します。 次に
Layer7 API Gateway
は、メッセージの形式が無効であるという警告をログに記録し、監査します。 これによって、管理者は保護されているサービスの安全を確保しながら、潜在的な侵入試行を監視できます。
外部エンティティ攻撃
XML は実際のデータが存在する URI を指すことにより、ドキュメントを動的に構築するために使用できます。 これらの外部エンティティは、攻撃者が取得されるデータを有害なコードに置換できるので、信頼できない可能性があります。
デフォルトでは、
Layer7 API Gateway
は、外部エンティティを解決せず、
Layer7 API Gateway
はEvaluate Request XPath および Evaluate Response XPath アサーションを使用して設定できます。
スキーマ ポイゾニング
スキーマは、メッセージの制約と構造、およびオプションの処理手順を記述します。 パーサは、スキーマを使用して Web サービス メッセージを解釈します。 スキーマは必要な前処理手順を記述するので、安全に格納されていない場合改ざんに対して脆弱です。
スキーマ ポイゾニングには、スキーマの置換または改ざんによりシステムを危険にさらそうとする攻撃者が関係します。 これから保護するために、
Layer7 API Gateway
は許可されていない場所からスキーマをロードしません。 スキーマはすべて管理者がロードする必要があります。動的ロードは許可されません。
WSDL スキャン
WSDL ドキュメントでは、サポートされている操作を含めて、Web サービスについて記述します。 この情報に加えて、WSDL は、攻撃者によって使用される可能性がある実装に関する詳細を公開することがあります。 攻撃者は、さまざまなコマンドおよび文字列の組み合わせを繰り返し、意図せずに関連する、または公開されていないアプリケーション プログラム インターフェースを発見することがあります。
Layer7 API Gateway
は選択的に内部 WSLD をすべてプロキシし、アプリケーション サーバ上の元の WSDL へのアクセスを保護します。 攻撃者が関連する非公開 WSDL を推測していても、
Layer7 API Gateway
はすべての WSDL への直接アクセスを拒否します。 Web サービス(およびその WSDL)への不正アクセスを防止することによって、このタイプの情報スキャンはブロックされます。
XML ルーティングの変更
攻撃者が通常のルーティングよりも優先されるように偽のルーティング情報が含まれるメッセージを Web サービスに送信した場合、XML ルーティングの変更が発生することがあります。 変更されたメッセージは不明または信頼できないホストにパススルーされ、攻撃者はメッセージの内容を表示するか変更できるようになります。 Policy Manager ルーティング アサーションのいずれかを使用すると、この再ルーティングは回避されます。 これらのアサーションは明示的にメッセージのルートを定義するので、ルートをオーバーライドすることはできません。 詳細については、「メッセージ ルーティング アサーション」を参照してください。
この仕様ではソースがメッセージのルートを定義することが許可されるので、WS-Routing (Web サービス ルーティング)がメッセージの送信者/受信者によって使用される場合も、XML ルーティングが発生する可能性があります。
Layer7 API Gateway
は厳密で明示的なメッセージのルーティングを適用しますが、
Layer7 API Gateway
内で広範な暗号化およびシグネチャ機能を使用することによって、仲介者が極秘内容を表示/変更できないようにすることもできます。