解説

Sitecore Managed Cloudのお客様は、Sitecoreアプリケーションを一般的なウェブ上の脆弱性や攻撃から保護したい場合に、「Azure Application Gateway (AG)」および「Web アプリケーション ファイアウォール (WAF)」のセットアップのサービス リクエストを作成していただけます。当記事では、Managed Cloudのお客様に知っていただくべき、Azure Application Gateway (AG) およびWeb アプリケーション ファイアウォール (WAF)の技術的な実装についてご説明します。

Azure AGおよびWAF製品の詳細と、それらがどのようにSitecore Content Delivery (CD)サーバーを保護するかの詳細につきましては、この記事をご参照ください。

前提条件

Managed Cloudサポートにサービス リクエストを提出いただく際は、必ず以下の項目をリクエスト内にてお知らせください。

• Sitecore CDのWeb Appの公開DNS名に対応するPFX証明書
• 証明書のパスワード

制限事項

WAFが有効化されたAzure AGは、Sitecore CDのWeb Appにのみ適用でき、Content Management(CM)サーバーには対応しませんのでご注意ください。詳細につきましては、この記事をご参照ください。

デプロイとタイミング

以下に、Sitecore Managed Cloudチームがこのサービス リクエストに対応する際の、各作業の実施タイミングおよびプロセス全体についての注意事項についてご説明します。

1. AGおよびWAFのデプロイは約1時間かかります。この間、Azure上のSitecore Content Delivery (CD) Web AppのIP制限が設定されるため、CDが直接のエンドポイント（*.azurewebsites.netなどのURL）からアクセスできなくなり、パブリックIPアドレスでのみアクセスが可能となります。
   サービス リクエストで「Do not apply CD IP Restriction Configuration」を選択することにより、このIP制限を解除していただくことができます。これは、本番稼働中で継続的にトラフィックがあるサイトの場合に特に重要です。
2. WAF サービスがデプロイされたら、すぐにお客様にてDNS サーバーに必要なレコードが作成されるよう設定を実施してください。NSサーバーのDNSレコードは完全に更新されるまでに最大で72時間かかるため、最終的な設定までに最大で3日間かかる場合があります。
3. Managed Cloudサポートは、WAFデプロイの実施の時間帯をお客様と調整します。ベスト プラクティスとして、予測できない問題やダウンタイムのリスクを軽減するため、本番リリースの前にAGおよびWAFの有効化を設定することをお薦めいたします。また、希望される作業時間帯の2営業日前までにManaged Cloudサポートへお知らせいただきスケジュールしていただくようお願いいたします。

初期設定

適用される設定の変更と、追加されるリソースは以下の通りです。

• 追加されるリソース:
  • WAF v2が有効なApplication Gateway:

    {mc-xxx-applicationGateway-wafv2}

  • WAFポリシー:

    {mc-xxx-wafPolicy} [1]

  • 仮想ネットワーク(Vnet):

    {mc-xxx-virtualNetwork}

  • パブリックIP(PIP):

    {mc-xxx-publicip}

• 設定の変更:
  • パブリックIPがCD App ServiceのIP制限に追加されます。
  • CD pingwebtestのURLがAG public DNSに変更されます。
  • AG ベーシックHTTPおよびHTTPSリスナー、ルールセット、バックエンド設定、および診断ロギング設定。
  • WAF防止モード、OWASP 3.2 マネージド ルール、およびBotマネージャー ルール セット。

セットアップ後のステップ

• 次に、インストールを完了するため、Sitecore CD DNS（https://{貴社のドメイン名}）からXXX.XXX.XXX.XXX（新しいパブリックIP）へのリダイレクトを設定する必要があります。
• AGおよびWAFが予期した通りに動作することを確認し、DNSの更新が完了したら、トラフィックがApplication Gatewayのみを経由するように、CD Web App上にIP制限を適用することが可能です。

サポート・責任範囲

Sitecore Managed Cloudチームは、Sitecoreの実装で、WAFが有効化されたAzure WAF製品をご利用になるManaged Cloudのお客様に対し、部分的なサポートを提供します。この部分的なサポートには、Azure Application GatewayおよびAzure WAFコンポーネントが含まれます。

初期セットアップ

	Sitecore	お客様
AGおよびWAFの初期設定と、SitecoreのスタンダードなトポロジにおけるSitecore CDロールとの統合	R, A	C, I
初期セットアップにおけるBasic HTTPおよびHTTPSリスナーの構成	R, A	C, I
AGおよびWAFの診断設定をOMSに構成	R, A	C, I
初期セットアップにおけるWAFの防止モードの構成	R, A	C, I
初期セットアップにおけるルールセットやポリシーなどのデフォルトのWAF設定の構成	R, A	C, I
AGへのSitecore CDの可用性テストの更新	R, A	C, I
WAFに関連するSitecoreアプリケーションの課題のトラブルシューティング	R, A	C, I

セットアップ後

 

凡例:

• R – 実施責任者
• A – 説明責任者
• C – 相談先
• I - 報告先

脚注

• [1] WAFポリシーは、2022年10月からの最新の初期セットアップの間に含まれるようになりました。古いセットアップにはこれは含まれませんのでご注意ください。必要な場合、サポートのお問い合わせを作成することで、WAFポリシーへ移行していただくことができます。
• [2] MCSにおいて、Sitecoreアプリケーションがどのように機能するか、そしてWAFの追加がどのようにお客様の実装に影響を与えるかにつきましては、お客様の責任となります。こういった課題のトラブルシューティングにつきましては、お客様の責任により実施をお願いいたします。Sitecore MCSサポートは、問題がどのエリアにあるかの特定などを支援できる可能性がありますが、最終的には、お客様のSitecore CDロールがどのように・なぜそのように動作するかの文脈を完全に把握しており、またソースコードへの完全なアクセスを有している、お客様の責任での実施をお願いいたします。
• [3] 潜在的なWAFのセキュリティに関するインシデントの監視と評価は、お客様の責任となります。また、そうした事象が発生した場合には、お客様のビジネスとセキュリティのプロトコルを理解している、セキュリティの専門家と協力して内容を分析していただくことをお薦めいたします。Sitecore MCSチームはMicrosoft社との協力によりお客様を支援し、また問題の解決に貢献できる可能性がありますが、最終的にはお客様の責任にてご対応をお願いいたします。