AWS Black Belt Online Seminar「AWS WAF」の資料およびQA公開
こんにちは、プロフェッショナルサービスの宮本です。
先日開催致しました AWS Black Belt Online Seminar 「AWS WAF」の資料を公開いたしました。当日参加者の皆様から頂いたQAの回答と併せてご紹介致します。
今後のAWS Black Belt Online Seminarのスケジュールは こちら です。皆様のご参加をお待ちしております。
【Q&A】
1. セキュリティベンダー(Impervaや、トレンドマイクロなど)のセキュリティルールなどを、WAFにインポートするような仕組み(連携)はないでしょうか?もしくは、今後の目処があれば教えていただきたい。
re:Invent 2017にてAWS WAFのマネージドルールが発表されました。
マネージドルールではAlert Logic、Fortinet、Imperva、Trend Micro、TrustWaveなど、業界をリードするセキュリティ専門家がAWS Marketplaceでマネージドのルール提供します。
詳細についてはManaged Rules for AWS WAF のページをご参照ください。
https://aws.amazon.com/jp/mp/security/WAFManagedRules/
2. block時の画面とか動作はカスタマイズできるのでしょうか?
はい。可能です。Block時の動作としては403 Forbiddenをレスポンスします。
CloudFrontの「エラーレスポンスのカスタマイズ」より、Block時の画面のカスタマイズが可能です。
http://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/custom-error-pages.html
>6. API Gatewayへのリクエストに対する対策としてAWS WAFは使えますか
API Gatewayの前段にCloudFrontを挟むことでAWS WAFの対応が可能となります。
設置する際は必要性を検討し、設定してください。(挟むことによるレイテンシの増加、WAFによる防御の期待値 等)
CloudFrontを設定した場合でも、CloudFrontを経由せずにAPI Gatewayに直接リクエストを送る事も可能です。
この場合はCloudFrontにカスタムヘッダーをオリジン転送設定をし、オリジン側でCloudFrontを経由した事をチェックし、
直接来たリクエストについてはRejectする実装等の対策を推奨いたします。
http://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html
3. ELBでもAWSのELBでもWAFは使えますか?
現在(2017/12時点)CloudFrontとALBが対応しております。CLB/NLBは対応しておりません。
4. 今日の例でリクエスト課金入れずに幾らになりますか?
OWASP's Top 10テンプレートを展開すると、1つのWebACLに10個のルールが作成されます。
ウェブ ACL あたり 5 USD/月 x 1
ウェブ ACL ごとに 1 ルールあたり 1 USD/月 x 10
リクエスト課金を除いて 合計15 USD/月 となります。
5. Q&Aの前に参考サイトがあったかと思うのですが、教えていただけることは可能でしょうか。
・AWS WAF - Web アプリケーションファイアウォール
https://aws.amazon.com/jp/waf/
・AS WAF と AWS Shield アドバンスドドキュメント
http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/what-is-aws-waf.html
・Use AWS WAF to Mitigate OWASP’s Top 10 Web Application Vulnerabilities(blog)
・Use AWS WAF to Mitigate OWASP’s Top 10 Web Application Vulnerabilities(pdf)
https://d0.awsstatic.com/whitepapers/Security/aws-waf-owasp.pdf
・AWS WAF セキュリティオートメーション
https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/
・IP Address Reputationリストを自動更新でAWS WAF IP Blacklistsとして使う方法
6. また、ルールセットのYMLはどうやって入手して、S3にアップロードしたら良のでしょうか?
上記サイトをご参照ください。owasp_10_base.ymlのリンクが公開されております。
展開する際には、CloudFormationでスタックを作成時のテンプレートURLとして、ymlファイルのURLを指定してください。
以上です。
コメント