© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

アマゾン ウェブ サービス ジャパン株式会社マーケティング本部シニアプロダクトマーケティングマネージャー 兼 プロダクトエバンジェリスト石𣘺 達司

アマゾン ウェブ サービス ジャパン株式会社

エンタープライズソリューションアーキテクト

藤倉 和明

2017/12/14

5分で 始める AWS WAF

マネージドルールによる手軽なセキュリティ対策

自己紹介

藤倉 和明（Kazuaki Fujikura）AWS Enterprise Solution Architect

好きなAWSサービス

Amazon CloudWatch

Amazon VPC

AWS WAF

本日のLTの目的

• AWS WAFのマネージドルールが出たという事を伝えたい

• どれだけ簡単に設定できるのか、設定する際のポイントをデモをしながら紹介

• 詳細については5分では話せないので割愛※ サポートや担当のSAに問い合わせしてください！

帰ったらすぐに有効にしたくなるような情報を伝える

re:Invent 2017 開催概要• AWS世界最大のカンファレンスで、マー

ケティングイベントではなく、学習型カンファレンスと位置づけ

– 2017年11月27日-12月1日

– ラスベガスの5カ所のホテルにて

• VENETIAN

• MIRAGE

• ARIA

• MGM GRAND

• ENCORE

– 40,000人以上の参加者

– 日本から1,000名以上のお客様がご参加

© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

100+ を超えるサービス群

© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

100+ を超えるサービス群 のうち今日はココ！

© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

6

よくあるサンプルアーキテクチャ

Web Web Web Web

Public Subnet (DMZ) Public Subnet (DMZ)

Private Subnet Private Subnet

Private Subnet Private Subnet

NATPROX

NATPROX

操作ログ

リソース監視

通知

データ暗号化

権限管理

Availability Zone Availability Zone

既存DC

専用線接続暗号鍵管理

管理コンソール

CDN/WAF

変更監視

traditional

server脆弱性検査

PII/SP検知

TLS security

コンプライアンス

WAFがセキュリティ対策の全てではないが、入口対策として重要な役割を担う

Your Applications

AWS WAF

What is （AWS）WAF?

• 一般的なWebエクスプロイトからウェブサイトやウェブアプリケーションを保護

• アプリケーションの可用性、セキュリティに影響を及ぼすリスクを緩和する、またはリソース消費を抑制する

• HTTPリクエストのフィルタエンジン

• 認識可能なリクエストシグネチャによる攻撃を防止する

• PCI等の規制遵守の要件を満たす WebApp Database

正規のユーザ 攻撃者

AWS WAF(Web Application Firewall)

特徴 (https://aws.amazon.com/jp/waf/)

• カスタムルールによるアクセス制御を実現

• SQLインジェクションやXSS攻撃などへの対応が可能。APIを利用した動的なルールの変更もサポート

• CloudFrontとALB(Application Load Balancer)で利用できる

• パートナーの提供によるマネージドルールが利用可能

価格体系 (https://aws.amazon.com/jp/waf/pricing/)

• ウェブACLの数とルール数

• リクエスト数

AWSが提供するウェブアプリケーションファイアウォール

AWS WAFでパートナーの提供によるマネージドルールが利用可能に

• パートナーが管理するマネージドルールを利用することで、ウェブアプリやAPIの保護を即座に開始することができるように

• 現時点でAlert Logic, Fortinet, Imperva, Trend Micro, TrustWaveなどセキュリティのエキスパートがルールを提供

• AWS Marketplaceを通じて調達でき、従量制の料金で利用可能。長期契約は必要ない

• ルールの適用はAWS WAFのコンソールからもhttps://aws.amazon.com/mp/se

curity/WAFManagedRules/

on 30 NOV 2017

設定の流れ

Website

Managed rules from marketplace

Subscriptions

購入したマネージドルールが表示される

Setting Managed Rule via WebACL

Block or Countで設定プロダクション環境に設定する場合はまずはCountを

blocked

xssっぽいリクエストを送りつけ、Blockされた事を確認

Cancel Subscription

AWS WAFマネージドルールのまとめ

• セキュリティのエキスパートが作成したルールをすぐに始められる

• 従量課金で途中でいつでも止める事が可能

AWS WAFマネージドルール最高