« [AWS Black Belt Onine Seminar]Amazon Elasticsearch Service | メイン | AWS Black Belt Online Seminar「AWSサービスを利用したアプリケーション開発を始めよう」の資料およびQA公開 »

AWS Black Belt Online Seminar「AWS WAF」の資料およびQA公開

こんにちは、プロフェッショナルサービスの宮本です。

先日開催致しました AWS Black Belt Online Seminar 「AWS WAF」の資料を公開いたしました。当日参加者の皆様から頂いたQAの回答と併せてご紹介致します。

今後のAWS Black Belt Online Seminarのスケジュールは こちら です。皆様のご参加をお待ちしております。

 

【Q&A】

1. セキュリティベンダー(Impervaや、トレンドマイクロなど)のセキュリティルールなどを、WAFにインポートするような仕組み(連携)はないでしょうか?もしくは、今後の目処があれば教えていただきたい。

re:Invent 2017にてAWS WAFのマネージドルールが発表されました。

マネージドルールではAlert Logic、Fortinet、Imperva、Trend Micro、TrustWaveなど、業界をリードするセキュリティ専門家がAWS Marketplaceでマネージドのルール提供します。

詳細についてはManaged Rules for AWS WAF のページをご参照ください。

https://aws.amazon.com/jp/mp/security/WAFManagedRules/

2. block時の画面とか動作はカスタマイズできるのでしょうか?

はい。可能です。Block時の動作としては403 Forbiddenをレスポンスします。

CloudFrontの「エラーレスポンスのカスタマイズ」より、Block時の画面のカスタマイズが可能です。

https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/custom-error-pages.html

>6. API Gatewayへのリクエストに対する対策としてAWS WAFは使えますか

API Gatewayの前段にCloudFrontを挟むことでAWS WAFの対応が可能となります。

設置する際は必要性を検討し、設定してください。(挟むことによるレイテンシの増加、WAFによる防御の期待値 等)

CloudFrontを設定した場合でも、CloudFrontを経由せずにAPI Gatewayに直接リクエストを送る事も可能です。

この場合はCloudFrontにカスタムヘッダーをオリジン転送設定をし、オリジン側でCloudFrontを経由した事をチェックし、

直接来たリクエストについてはRejectする実装等の対策を推奨いたします。

https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html

3. ELBでもAWSのELBでもWAFは使えますか?

現在(2017/12時点)CloudFrontとALBが対応しております。CLB/NLBは対応しておりません。

4. 今日の例でリクエスト課金入れずに幾らになりますか?

OWASP's Top 10テンプレートを展開すると、1つのWebACLに10個のルールが作成されます。

ウェブ ACL あたり 5 USD/月 x 1

ウェブ ACL ごとに 1 ルールあたり 1 USD/月 x 10

リクエスト課金を除いて 合計15 USD/月 となります。

5. Q&Aの前に参考サイトがあったかと思うのですが、教えていただけることは可能でしょうか。

・AWS WAF - Web アプリケーションファイアウォール

https://aws.amazon.com/jp/waf/

・AS WAF と AWS Shield アドバンスドドキュメント

https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/what-is-aws-waf.html

・Use AWS WAF to Mitigate OWASP’s Top 10 Web Application Vulnerabilities(blog)

https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-top-10-web-application-vulnerabilities/

・Use AWS WAF to Mitigate OWASP’s Top 10 Web Application Vulnerabilities(pdf)

https://d0.awsstatic.com/whitepapers/Security/aws-waf-owasp.pdf

・AWS WAF セキュリティオートメーション

https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/ 

・IP Address Reputationリストを自動更新でAWS WAF IP Blacklistsとして使う方法

https://aws.typepad.com/sajp/2016/05/you-can-use-aws-waf-a-web-application-firewall-to-help-protect-your-web-applications-from-exploits-that-originate-from-grou.html

6. また、ルールセットのYMLはどうやって入手して、S3にアップロードしたら良のでしょうか?

https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-top-10-web-application-vulnerabilities/

上記サイトをご参照ください。owasp_10_base.ymlのリンクが公開されております。

展開する際には、CloudFormationでスタックを作成時のテンプレートURLとして、ymlファイルのURLを指定してください。

 

以上です。

コメント

Twitter, Facebook

このブログの最新情報はTwitterFacebookでもお知らせしています。お気軽にフォローください。

2018年4 月

1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30