このトピックでは、MOVEit Transfer の前に Web アプリケーションファイアウォール (WAF) を展開するサイトのための設定ガイドラインについて説明します。WAF の主な目的は、MOVEit Transfer による処理が必要になる前に、不正な形式の HTTP 要求をブロックすることです。

WAF は、REST API および WebUI の要求などの Web トラフィックが期待通りに到着することを保証する別のレイヤーを提供します。形式が正しく、現在の WAF の設定ポリシーに従っている HTTP 要求は通過を許可され、不正な形式のトラフィックまたは予期しないトラフィックはブロックされます。

ヒント: 初めて MOVEit Transfer を使用する場合や、MOVEit Transfer が現在使用しているまたはトラフィックが予想されるポートが不明な場合は、MOVEit Transfer Config ユーティリティを確認することができます。nmap などのポートスキャナーツールを使用して、これらの設定を検証することもできます。

MOVEit Transfer で機能する WAF の設定

MOVEit Transfer の管理者は、特定のトラフィックパターンやプロトコルに応じて WAF の設定を適切に調整するために、ネットワーキングチームや WAF ベンダーの担当者と連携する必要があります。異なるベンダーの WAF は、MOVEit Transfer に対して異なる設定を必要とします。以下は、プロトコルごとに対処する必要がある一般的な項目です。

HTTPS

HTTPS にサードパーティの WAF を設定する際には、以下の点を考慮してください。

  • WAF は MOVEit Transfer の完全な証明書を必要とする

    MOVEit Transfer サーバーの完全な (公開および非公開) 証明書を WAF に提供する必要があります。これにより、HTTPS/TLS 要求データの暗号化解除が可能になります。

  • WAF に含めるべき HTTP メソッド

    MOVEit Transfer には、GET、POST、HEAD、OPTIONS、PUT、PATCH、および DELETE HTTP メソッドがすべて許可されなければなりません。

  • HTTP POST メソッドの設定

    一部の WAF には、POST メッセージの合計サイズに制限があるか、大容量ファイルのアップロードに影響を及ぼす可能性がある組み込みタイムアウトがあります。これらの設定は、MOVEit の MOVEitISAPI エンドポイントを使用するファイルのアップロードに最もよく影響を及ぼします(たとえば、MOVEit Automation、MOVEit EZ、または MOVEit Transfer .NET API モジュールや Java API モジュールを使用して作成されたカスタムアプリケーション)。
    • POST 設定は、HTTPS 経由でアップロードされる可能性のある最大ファイルサイズに対応するように設定する必要があります。
    • UI を通じて行う MOVEit RESTful API を使用した大容量ファイルのアップロードもテストする必要があります。

SFTP

WAF は SFTP プロトコルを使用した SSH トラフィックを検査しません。SFTP トラフィックに対するいくつかの推奨オプションは次のとおりです。

  • オプション 1:ポート 22 のトラフィックが検査なしで WAF をパススルーするように設定する。

  • オプション 2:WAF ベンダーによってパススルーが許可されていない場合、SFTP トラフィック専用の追加 URL を提供する必要がある。

    • たとえば、会社の MOVEit Transfer の URL が files.example.com である場合、SFTP アクセス専用の URL として sftp.example.com を選択します。

  • オプション 3:WAF の前にロードバランサーを使用して、SFTP トラフィックを MOVEit Transfer ノードに送信し、HTTPS トラフィックのみを WAF に送信する。

  • オプション 4:SFTP が会社で使用されていない場合は、SFTP を無効にし、ポート 22 を無効にする。

FTPS

FTPS プロトコルの場合、WAF は ポート 21 または 990 のトラフィックを検査しません。FTPS トラフィックに対するいくつかの推奨オプションは次のとおりです。

  • オプション 1:ポート 21 または 990 のトラフィックが WAF をパススルーするように設定する。

    • FTP のパッシブモードを使用する場合、MOVEit Transfer Config ユーティリティで定義された非特権ポートも WAF をパススルーするように許可する必要があります。MOVEit Transfer のデフォルトの非特権ポートは 3000 ~ 3100 です。この設定は、MOVEit Transfer Config ユーティリティで FTP のパッシブ範囲ポートを確認することによって検証する必要があります。

  • オプション 2:WAF ベンダーによってパススルーが許可されていない場合、FTPS トラフィック専用の追加 URL を提供する必要がある。

    • たとえば、会社の MOVEit Transfer の URL が files.example.com である場合、SFTP アクセス専用の URL として ftp.example.com を選択します。

  • オプション 3:WAF の前にロードバランサーを使用して、FTPS トラフィックを MOVEit Transfer ノードに送信し、HTTPS トラフィックのみを WAF に送信する。

  • オプション 4:FTPS が会社で使用されていない場合は、FTPS を無効にし、ポート 21 と 990 を無効にする。

WAF の実装に関する一般的な問題

  • MOVEit Automation、MOVEit EZ、または MOVEit Transfer API や Java API を使用した作成されたカスタムアプリケーションを使用した大容量ファイルのアップロードが失敗する場合があります

    • この問題は、ベンダーによって異なる傾向があります。POST サイズに再設定が必要な制限やタイムアウトを設定していたり、MOVEit Transfer ではサポートされていない方法で MOVEit POST 要求ヘッダーを変更していたりするベンダーがいます。

    • この問題は、MOVEitISAPI を使用するファイルのアップロードに最もよく影響を及ぼす傾向があります。アップロードに MOVEitISAPI が使用されているかどうかは、失敗している要求の WAF ログまたは IIS ログのいずれかを表示することで確認できるはずです。

    • 考えられる解決策:

      • 予想される最大ファイルサイズおよび最長アップロード時間に基づいて、POST サイズの最大値とタイムアウトを変更してください。

      • 一部の WAF の実装では、MOVEit Transfer MOVEitISAPI インターフェイスに必要な HTTP ヘッダー transfer-encoding: chunked が変更されています。通常、これは WAF ベンダーと一緒に検証する必要があり、WAF ベンダーが回避策または WAF の代わりの設定を提供する必要がある場合があります。

  • パフォーマンス

    • WAF をトラフィックの経路に導入すると、常にある程度のレイテンシが発生し、MOVEit Transfer の全体的なパフォーマンスに測定可能な影響を与える可能性があります。これは、WAF を通過するデータを復号化、検査、再暗号化、転送する必要があるためです。パフォーマンスに悪影響がある場合は、WAF ベンダーと協力して WAF の動作を調整してください。