HTTP/2 がセキュリティを危うくする!? 

安心してください。ちゃんと対応策があります。

HTTP/2が広く普及しブラウザ側でも採用されるようになり、HTTP1.1 の抱えていた多くのパフォーマンス問題がようやく解決されるめどがつきました。では、セキュリティについてはどうなのでしょう?

暗号化を必須とすることで、HTTP/2 が高レベルのプライバシーを提供する一方で、Web Application Firewall (WAF) などのセキュリティソリューションはその進化に追いつけていないのが実情です。今あるWAFの中でHTTP/2 上でのアプリケーション攻撃に対応するものはなく、結果、HTTP/2 ベースのアプリケーションが脆弱なまま放置されることになっています。

WAFでアプリケーションを守りながらHTTP/2でパフォーマンス改善を行いたいと望むのなら、WAFHTTP/2に対応しているかどうかを事前に確認しましょう。さもなくば・・・

今使っているWAFHTTP/2に対応していなければ、HTTP/2がサーバ通信に使われている場合、多くのWeb アプリケーションレベルの攻撃が検知されずに通過してしまいます。

なぜ、今のWAFではダメなのか
どうして?
通常、アプリケーションwebサーバはHTTP/2にアップグレードされることと思います。その場合、サーバの前に設置されているWAFは、HTTP/2を用いたクライアント-サーバ間通信を扱うことになります。WAF が復号化された暗号コンテンツを見ることができたとしても、WAF HTTP/2対応していなければ、webアプリケーションレベルの攻撃、例えば非常に単純なHTTPフラッドのようなものですら、検知することはできないのです。
つまり、HTTP/2は時期尚早?
HTTP/2をサポートしつつ適切なセキュリティを実施することは不可能ではありません。Webアプリケーションサーバ群の前にHTTP/2ゲートウェイを置きさえすればいいのです。このゲートウェイにHTTP/2とHTTP1.1との間の通訳をさせるというわけです。この方法で、仮に既存のWAFがHTTP1.1しかサポートしていなくても、HTTP/2 を用いた攻撃からもwebアプリケーションレベルを守ることができるのです。

WAFHTTP/2ゲートウェイの両方の機能がひとつのADCソリューション(ロードバランサやセキュリティ機能など)に搭載されていたのなら、各機能が適切に実装され、機能していることを確認する必要があります。

まず、HTTP/2ゲートウェイ機能を通過させ、HTTP/2HTTP1.1に変換します。その後WAFモジュールを経て、適切なwebアプリケーションサーバに送られるようにします。このプロセスを経ることにより、従来のWAF機能を活かしながら、HTTP/2も処理できるようになります。
HTTP/2の利用は多くのメリットがあります。パフォーマンスやエンドユーザへのプライバシー機能などです。一方で、さまざまな理由からHTTP/2の採用を見送られるケースが多いのも事実です。HTTP/2 ゲートウェイの導入によりHTTP/2を採用することで多くの すべてではないにしろ – HTTP/2がもたらすメリットを享受しつつ、HTTP1.1からHTTP/2 へのマイグレーション上の課題を解決することができるのです。
安全なHTTP/2導入について解説した
White Paper をご用意しています。
↓ ↓ ダウンロードはこちらから! ↓ ↓
From Radware Blog
ソース: "HTTP/2 Will BreakYour Security - Here's how to Fix it"
Copy right: Radware Japan 2015