Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2017年2月11日

SiteGuard Lite(WAF)で常時HTTPSなWordPressサーバーに移行完了しました

本日(2017/02/11)はサーバーの移転作業のため、サイトにアクセスできない時間が長くなり失礼いたしました。想定していなかったトラブルが頻発し、解決するのに丸1日かかってしまいました。

 

このサイトは、さくらVPSの1Gプランで運用していたのですが、IOPS 制限でサーバーが落ちてしまうことが頻発していました。原因は、ディスクI/Oにあるようなのですが、さくらはその閾値を公開していません。

ちょっとこれはなあ、と思い他の VPS サービスに移行しようと考えていたのですが、さくらVPSで SiteGuard Lite が無料で2017年1月から提供されるようになったと知り、これは!と思いました。

SiteGuard Lite はまともに購入すれば、年間数万円はかかる WAF (Web Application Framework) なので非常にお得です。もともと、ModSecurity というオープンソースの WAF を使用していましたが、使い勝手悪くなんとかならないかと思っていたので渡りに船です。

ただ、今までの 1G プランでは同じ問題が起きると予想されるので、1つ上位の 2Gプランにして HDD も SSD に変更しました。

サーバー維持費が2倍になりましたが、SiteGuard Lite が使えるのなら安いものです。また、HDD から SSD に移行したことにより、SiteGuard Lite という WAF の負荷が増えてもレスポンスは向上したようです。

 

その SiteGuard Lite ですが、導入が結構面倒でしたね。OSのイメージから最初から組み込まれているのはよかったと思います。しかし、管理画面は https://hostname:9443/ にアクセスする必要があるのですが、HSTS (HTTP Strict Transport Security) がサイトで有効になっているとブラウザがエラーを表示してアクセスできなくなるのですよね。仕方なく HSTS を止めたのですが、ブラウザが HSTS の設定を覚えていてクリアするのが一苦労でした。

また、デフォルトでは SiteGuard Lite は動作しておらず、動作させるにはセットアップするクリプトを実行し、設定画面で攻撃検知を有効にする必要があるのも、ユーザーにやさしくないなと思いました。ドキュメントを読めば書いてあることなのですが、気が付かないのに動作しているつもりになるユーザーはいそうです。

今まで、SiteGuard Lite のデメリットばかりを書いてしまいましたが、管理画面で WAF の管理をできるメリットは非常に大きいです。設定も簡単で検知できる内容も多い、グラフで状況を確認できることなどは非常によいと思いました。

若干、セキュリティレベルを落とす一面はありますが、それ以上のセキュリティレベルの向上が見込めるのではないでしょうか。オープンソースの ModSecurity と比べると使い勝手は雲泥の差です。

あと、HSTS が使えなくなったと言っても、.htaccess で HTTP でアクセスされたら HTTPS にリダイレクトするようにしているので常時 HTTPS 化はできています。SSL/TLS 証明書は Let's Encrypt を使用しています。SSL/TLS 証明書も Let's Encrypt の閾値を超えてしまい取得できないというトラブルが起きましたが、前のサーバーから SSL/TLS 証明書を持ってくることで問題を回避しました。閾値を下回ったら設定をしなければいけませんね。

しばらく様子を見る必要はありますが、なんとか今までの問題を解決することができました。

とりあえず取り組んでよかったです。


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA