5分で AWS WAF...本日のLTの目的 • AWS...
Transcript of 5分で AWS WAF...本日のLTの目的 • AWS...
© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アマゾン ウェブ サービス ジャパン株式会社マーケティング本部シニアプロダクトマーケティングマネージャー 兼 プロダクトエバンジェリスト石𣘺 達司
アマゾン ウェブ サービス ジャパン株式会社
エンタープライズソリューションアーキテクト
藤倉 和明
2017/12/14
5分で 始める AWS WAF
マネージドルールによる手軽なセキュリティ対策
自己紹介
藤倉 和明(Kazuaki Fujikura)AWS Enterprise Solution Architect
好きなAWSサービス
Amazon CloudWatch
Amazon VPC
AWS WAF
本日のLTの目的
• AWS WAFのマネージドルールが出たという事を伝えたい
• どれだけ簡単に設定できるのか、設定する際のポイントをデモをしながら紹介
• 詳細については5分では話せないので割愛※ サポートや担当のSAに問い合わせしてください!
帰ったらすぐに有効にしたくなるような情報を伝える
re:Invent 2017 開催概要• AWS世界最大のカンファレンスで、マー
ケティングイベントではなく、学習型カンファレンスと位置づけ
– 2017年11月27日-12月1日
– ラスベガスの5カ所のホテルにて
• VENETIAN
• MIRAGE
• ARIA
• MGM GRAND
• ENCORE
– 40,000人以上の参加者
– 日本から1,000名以上のお客様がご参加
© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
100+ を超えるサービス群
© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
100+ を超えるサービス群 のうち今日はココ!
© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
6
よくあるサンプルアーキテクチャ
Web Web Web Web
Public Subnet (DMZ) Public Subnet (DMZ)
Private Subnet Private Subnet
Private Subnet Private Subnet
NATPROX
NATPROX
操作ログ
リソース監視
通知
データ暗号化
権限管理
Availability Zone Availability Zone
既存DC
専用線接続暗号鍵管理
管理コンソール
CDN/WAF
変更監視
traditional
server脆弱性検査
PII/SP検知
TLS security
コンプライアンス
WAFがセキュリティ対策の全てではないが、入口対策として重要な役割を担う
Your Applications
AWS WAF
What is (AWS)WAF?
• 一般的なWebエクスプロイトからウェブサイトやウェブアプリケーションを保護
• アプリケーションの可用性、セキュリティに影響を及ぼすリスクを緩和する、またはリソース消費を抑制する
• HTTPリクエストのフィルタエンジン
• 認識可能なリクエストシグネチャによる攻撃を防止する
• PCI等の規制遵守の要件を満たす WebApp Database
正規のユーザ 攻撃者
AWS WAF(Web Application Firewall)
特徴 (https://aws.amazon.com/jp/waf/)
• カスタムルールによるアクセス制御を実現
• SQLインジェクションやXSS攻撃などへの対応が可能。APIを利用した動的なルールの変更もサポート
• CloudFrontとALB(Application Load Balancer)で利用できる
• パートナーの提供によるマネージドルールが利用可能
価格体系 (https://aws.amazon.com/jp/waf/pricing/)
• ウェブACLの数とルール数
• リクエスト数
AWSが提供するウェブアプリケーションファイアウォール
AWS WAFでパートナーの提供によるマネージドルールが利用可能に
• パートナーが管理するマネージドルールを利用することで、ウェブアプリやAPIの保護を即座に開始することができるように
• 現時点でAlert Logic, Fortinet, Imperva, Trend Micro, TrustWaveなどセキュリティのエキスパートがルールを提供
• AWS Marketplaceを通じて調達でき、従量制の料金で利用可能。長期契約は必要ない
• ルールの適用はAWS WAFのコンソールからもhttps://aws.amazon.com/mp/se
curity/WAFManagedRules/
on 30 NOV 2017
設定の流れ
Website
Managed rules from marketplace
Subscriptions
購入したマネージドルールが表示される
Setting Managed Rule via WebACL
Block or Countで設定プロダクション環境に設定する場合はまずはCountを
blocked
xssっぽいリクエストを送りつけ、Blockされた事を確認
Cancel Subscription
AWS WAFマネージドルールのまとめ
• セキュリティのエキスパートが作成したルールをすぐに始められる
• 従量課金で途中でいつでも止める事が可能
AWS WAFマネージドルール最高