Cloudflareは先頃、新しいWebアプリケーションファイアウォール (WAF) を紹介した。最新のエンジンはRustで記述され、より優れたパフォーマンスと他のCloudflare製品との統合が提供されている。
新しい実装は、より簡単なルールの参照、ワンクリックのデプロイと構成、OWASP Core Rulesetの最新バージョンに基づく更新されたルールセット、およびアカウント全体に同じ構成をデプロイする機能を提供するように設計された。Cloudflareは現在、John Graham-Cumming氏によってLuaJITで記述され、NGINXモジュールとして実装されていた以前のエンジンからは離れている。さらに、ModSecurity構文のスーパーセットであった古いルール構文を変更している。
CloudflareのプロダクトマネージャであるMichael Tremante氏は、Cloudflareで最も使用されているプロダクトの1つである既存のWAFのコードベースを新しいプロダクトで置き換える必要がある理由を説明している:
Cloudflare Webアプリケーションファイアウォール (WAF) は、1日あたり570億を超えるサイバ脅威をブロックします。これは、HTTPリクエストを1秒あたり65万をブロックしています。このトラフィックをフィルタリングする元のコードは、Cloudflareの現在のCTOによって作成されました (...) コードが以前ほど保守可能、パフォーマンス、またはスケーラブルでなくなればコードを置き換えることが重視されているため、Cloudflareスタックの主要部分は定期的に書き直しています (...) しばらくの間、Johnが書いた元のLuaJITコードを、Rustで書かれた新しいコードに置き換える作業を行ってきました。
RustはCloudflareが他のプロジェクトですでに使用している言語であり、新しいエンジンは、Firewall Rulesに一致するマネージドルールセットの基礎としてwirefilter構文を導入し、同じ基盤となるRustライブラリを使用してフィルタを実行する。IBMのPython開発者であるTomas Pytel氏は、新しいWAFの利点をtweetで要約している:
- よりよい、ルール参照と構成
- #Rustで書かれた新しいマッチングエンジン
- 更新された#WAFルールセット
- グローバル構成
Cloudflareによると、新しいバージョンのロールアウトは、Proプランゾーン以上で新しく作成されたアカウントの10%から始まり、4月中に新しいアカウントの100%に増加し、その後、既存の顧客の移行作業が続くとのことだ。
出典: https://blog.cloudflare.com/account-takeover-protection/
別で、Cloudflareは、Super Bot Fight Mode、Open Proxy管理リスト、パス上の公開資格情報チェックを提供するWAFの新機能の公開資格情報チェックなど、アカウント乗っ取り保護のためのさらなる機能のリリースを発表している。有効にすると、WAFは、Cloudflareによって維持されているリークされた資格情報のデータベースに対して、認証リクエストの資格情報を自動的にチェックする。一致するものが見つかった場合、WAFはオリジンにヘッダを追加する。これにより、アプリケーションは警告を発し、別の認証フローをトリガできる。