Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWS Black Belt Online Seminar 2017 AWS WAF

27,455 views

Published on

AWS Black Belt Online Seminar 2017 WAF

Published in: Technology
  • The Bulimia Recovery Program, We Recovered, You CAN TOO! ■■■ http://tinyurl.com/bulimia2recovery
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

AWS Black Belt Online Seminar 2017 AWS WAF

  1. 1. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 1 Kazuaki Fujikura Solutions Architect, Amazon Web Services Japan K.K 2017.11.22 【AWS Black Belt Online Seminar】 AWS WAF -OWASP Top10脆弱性緩和策-
  2. 2. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 2 ⾃⼰紹介 藤倉 和明(Kazuaki Fujikura) AWS Enterprise Solution Architect 好きなAWSサービス Amazon CloudWatch Amazon VPC AWS WAF
  3. 3. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 3 AWS Black Belt Online Seminar へようこそ! 質問を投げることができます! Adobe ConnectのQ&Aウィンドウから、質問を書き込んでください。 (書き込んだ質問は、主催者にしか⾒えません) 今後のロードマップに関するご質問はお答えできませんのでご了承くださ い。 Twitterへツイートする際はハッシュタグ #awsblackbelt をご利⽤くだ さい。 ①Q&Aウィンドウ 右下のフォームに 質問を書き込んで ください ②吹き出しマークで 送信してください
  4. 4. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 4 AWS Black Belt Online Seminar とは AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです 【⽕曜 12:00~13:00】 主にAWSのソリューションや 業界カットでの使いどころなどを紹介 (例:IoT、⾦融業界向け etc.) 【⽔曜 18:00~19:00】 主にAWSサービスの紹介や アップデートの解説 (例:EC2、RDS、Lambda etc.) ※開催曜⽇と時間帯は変更となる場合がございます。 最新の情報は下記をご確認下さい。 オンラインセミナーのスケジュール&申し込みサイト • https://aws.amazon.com/jp/about-aws/events/webinars/
  5. 5. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 5 内容についての注意点 本資料では2017年11⽉22⽇時点のサービス内容および価格についてご説明しています。最 新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 • 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価 格に相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 • 価格は税抜表記となっています。⽇本居住者のお客様が東京リージョンを使⽤する場合、 別途消費税をご請求させていただきます。 AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
  6. 6. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 6 Agenda ü AWS WAF概要 ü WAFとは ü AWS WAFの紹介 ü OWASPʻs Top 10防御 ü OWASPʼs Top 10とは ü OWASPʻs Top 10 templateの展開 ü デモ ü 更なる⼀⼿ ü まとめ
  7. 7. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 7 AWS WAF概要
  8. 8. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 8 WAFとは? • Web Application Firewall (WAF) は、HTTPトラフィックをフィルタ などの制御をするためのアプライアンスや、サーバプラグインなどの ルールセットのこと。 • WAFは以下4つで提供されることが多い • Pure Play: スタンドアローンのアプライアンスやソフトウェア • CDN: Content Delivery Networkへのバンドル • Load Balancer: ロードバランサへのバンドル • Universal Threat Manager (UTM): 統合セキュリティ管理(UTM)の ⼀部として提供 DatabaseWeb ServerWAF Normal Access Malicious Access
  9. 9. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 9 なぜWAFを使うのか • WAFは、Webサイトやアプリケーションが、攻撃されてダウンしたり データが流出したりすることがないような⼿助けをする • WAFの⼀般的なユースケース • SQL Injection (SQLi) 、Cross Site Scripting (XSS)対策 • Webクローラ、スクレイピング等のBOT対策 • DDoS緩和 (HTTP/HTTPS floods) • ガートナーのレポートによると、導⼊理由の25-30%はPCI対応のため ネットワーク OS ウェブアプリケーション IDS/IPS FW WAF 攻撃者
  10. 10. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 10 Webサービス防御におけるWAFの位置づけ DDoS Targeted attacks WAF Reflection and amplification Layer 3 & 4 floods Slowloris SSL abuse HTTP floods SQL injection Bots and probes Application exploits Social engineering Reverse engineering XSS RFI/LFI Data Exposure
  11. 11. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 11 WAFだけでは防御は完璧ではない WAFはウェブアプリケーションの脆弱性への根本対策ではなく、 攻撃による影響を低減する対策 ウェブアプリケーション防御はWAFの導⼊だけでなく、そのイン フラストラクチャ全体の対策が必要 • AWS Shield • Amazon Inspector • 暗号化 • IAM • AWS Config • AWS CloudTrail • 3rd partyセキュリティソフト … Web Application Firewall(WAF) - IPA 独⽴⾏政法⼈ 情報処理推進機構:http://www.ipa.go.jp/files/000017312.pdf
  12. 12. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 12 セキュリティを考慮したサンプルアーキテクチャ Web Web Web Web Public Subnet (DMZ) Public Subnet (DMZ) Private Subnet Private Subnet Private Subnet Private Subnet NAT PROX NAT PROX 操作ログ リソース監視 通知 データ暗号化 権限管理 Availability Zone Availability Zone 既存DC 専⽤線 接続暗号鍵管理 管理コンソール CDN/WAF 変更監視 WAFはセキュリティ対策の⼀部 それだけで全てを守れる訳ではない traditional server 脆弱性検査 PII/SP検知 TLS security コンプライアンス
  13. 13. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 13 Your Applications AWS WAF What is AWS WAF? • ⼀般的なWebエクスプロイトからウェ ブサイトやウェブアプリケーションを 保護 • アプリケーションの可⽤性、セキュリ ティに影響を及ぼすリスクを緩和する、 またはリソース消費を抑制する • HTTPリクエストのフィルタエンジン • 認識可能なリクエストシグネチャによ る攻撃を防⽌する • 規制遵守の要件を満たす WebApp Database 正規のユーザ 攻撃者
  14. 14. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 14 AWS WAFの特徴 カスタムルールによるフィルタ SQLインジェクション、XSSなどの よくある攻撃への対策 モニタリング
  15. 15. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 15 これまでのWAF 設定は複雑で時間がかかる
  16. 16. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 16 これまでのWAF ルールが増えるにつれ擬陽性(False positive)に悩むこ とになる
  17. 17. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 17 これまでのWAF No API
  18. 18. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 18 これまでのWAF 導⼊と維持コストが⾼すぎる • プロフェッショナルサービスが必 要になる • ⾒積もりが過⼤になりがち
  19. 19. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 19 お客様の要望に応じてAWSが実現したWAF 実践的なセキュリ ティモデルを簡単 に導⼊ フレキシブルに ルールをカスタマ イズできる DevOpsとの統合 それらをAWSの「使っただけ」の⽀払い
  20. 20. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 20 WAF タイプ別分類 Pure Play WAF • Imperva* • Alert Logic • Barracuda* • Qualys* CDN WAF • Akamai Kona • CloudFlare** • EdgeCast • Incapsula** • LeaseWeb Load Balancer WAF • F5 Networks* • Citrix* • Barracuda* UTM WAF • Sophos* • Fortinet* * Denotes a WAF that is available from the AWS Marketplace ** Denotes advertised product in AWS Marketplace from technology partner
  21. 21. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 21 AWS WAF • Amazon CloudFront/ALBとの併 ⽤のみ • クラウドベースの防御 • セルフサービス、簡単なデプロイ、 使った分だけのお⽀払い • オートスケール • DevOpsと相性がいい • “Do it yourself” AWS WAFとMarketplaceの併⽤について Marketplace WAFs • EC2インスタンス上で動作 • マネージドサービス、BYOL、1時間単 位など様々 • スケールさせるには別途設定、変更点、 特別作業等必要 • オンプレミスで⾏っていた統制をその ままに実現 (シグネチャ更新、SOC対応)
  22. 22. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 22 AWS WAFでパートナーの提供による マネージドルールが利⽤可能に • パートナーが管理するマネージドルールを利⽤ することで、ウェブアプリやAPIの保護を即座 に開始することができるように • 現時点でAlert Logic, Fortinet, Imperva, Trend Micro, TrustWaveなどセキュリティの エキスパートがルールを提供 • AWS Marketplaceを通じて調達でき、従量制 の料⾦で利⽤可能。⻑期契約は必要ない • ルールの適⽤はAWS WAFのコンソールからも https://aws.amazon.com/mp/se curity/WAFManagedRules/ on 30 NOV 2017
  23. 23. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 23 AWS WAFシステムの概念とコンポーネント Associations Amazon CloudFront Application Load Balancer Web ACLs Ordered set of rules Rules Match sets as predicates Conditions Match sets • Conditions • SQL Injection • Cross Site Scripting (XSS) • IP Blacklisting/Whitelisting • Request Hygiene/Size Constraints • String and regex matching • Geo match • Rules • Standard Rules • Rate Based Rules (per 5min interval) • Actions: Block, Allow, Count • Perimeter protection
  24. 24. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 24 Web ACLを構築するための戦略 • Blacklisting: • ルールによる不正なパターンのみBLOCK デフォルトのアクションはALLOW • ⼀般的に採⽤されるパターン • Whitelisting: • ルールによる許可されたパターンのみALLOW デフォルトのアクションはBLOCK • 全てのリクエストパターンを事前に把握し限定できる場合に採⽤ • Mixed: • 考慮事項:ルールの順序付け、バイパスの規則 • Count effects: • 導⼊初期のテストパターンでは COUNT ルールアクションが有効 • 正常なリクエストが除外されていないか確認する
  25. 25. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 25 サンプルをモニタリングしながら、ルール毎にリクエストがマッチし たか確認する事が可能 COUNT で確認し、誤検知が無いことを確認してからBLOCKに変更 Web ACLを構築するための戦略 サンプルを確認するルール 対象となったリクエスト詳細 ActionをCountからBlockへ変更
  26. 26. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 26 OWASPʻs Top 10防御
  27. 27. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 27 OWASPʻs Top 10とは • OWASP(The Open Web Application Security Project)コミュニティが公開している、最もクリティカ ルと考える10種類のセキュリティリスク • 2013年度版が最新のバージョン、2017年度版は現在RC1 として公開されている • AWS WAFのOWASPʻs Top 10 templateはそのどちらも 対応する形で公開 https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-top-10-web-application-vulnerabilities/
  28. 28. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 28 OWASPʻs Top 10 (2013 & 2017 RC) 最もクリティカルと考える10種類のセキュリティリスクについて、OWASPコ ミュニティで幅広いコンセンサスを得ています A1 Injection A2 Broken Auth. & Session Mgmt. A3 Cross-Site Scripting (XSS) A4 Broken Access Control A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Insufficient Attack Protection A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Underprotected APIs 2013 - A10 Unvalidated redirects and forwards New New New
  29. 29. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 29 QuackyNature.com は有⼒なオンライン⼩売業者です 彼らは常に悪意のあるユーザから攻撃を受けています クレジットカード情報、個⼈情報、価格設定または、サプライヤーの情報等 機密データを盗もうとしています あなたは彼らの新しいセキュリティエンジニアです データを保護し、攻撃を緩和する必要があります ロールプレイ
  30. 30. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 30 アプリケーションセキュリティの脅威を緩和する アプリケーション指向アプローチ: 特定のアプリケーションプロファイルを保護する QuackyNature.comアプリケーション固有の欠陥 (コード、構成、機能)を悪用するリスクを軽減する ✓ 環境の変化に適応する✓ ⼀般的な攻撃による影響を軽減 QuackyNature.comを一般的な攻撃から保護します ✓
  31. 31. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 31 Using WAF to Mitigate OWASP Top 10 AWS WAF は、OWASP Top 10のアプリ ケーション脆弱性を緩和できます • WAFは根本的な⽋陥を修正するもので はなく、脆弱性への攻撃の緩和です • HTTPリクエストパターンを認識する事 は、有効性の⾼い導⼊への鍵です • 攻撃パターンの変化に追いつく能⼒は 重要です
  32. 32. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 32 アプリケーションプロファイルを知る OSSもしくは、商⽤の既製品であっても、アプリケー ションを詳細に把握する どのようなサービス/ URLパスがWebに公開されますか? それらを最新の状態に保ち、適時にセキュリティパッチ をインストールする 脆弱性を最⼩限に 1 3 アプリケーションが活⽤しているパッケージ、ライブラ リ、コンポーネントを把握する 公開する追加の機能とサービス 2
  33. 33. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 33 A1 – Injection Injection ⽋陥: アプリケーションが信頼できないデータをインタプ リタに送信し、要求元の意図を変更するリスク 広く知られているのは SQL Injection があります。 Credit: XKCD: Exploits of a Mom, published by permission.
  34. 34. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 34 A1 – Injection AWS WAFのSQL injection match conditionsを使⽤して軽減する • どのようなHTTPリクエストコンポーネントをスキャンする必要が ありますか? • Query String, URI, Body, Cookie and/or Authorization Header • どのような変換を適⽤する必要がありますか? • URL Decode, Decode HTML Entities • その他のinjection typesにはどのように対応しますか? • Use String and regex matching conditions
  35. 35. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 35 A3 – Cross-Site Scripting (XSS) XSS ⽋陥: 適切なサニタイズを⾏わずにWebページにユーザー提供の データを含める。 悪意のあるスクリプトやオブジェクトをユーザー ページに埋め込むことができます Your Comment: SEND <script src=”https://malicious- site.com/exploit.js” type=”text/javascript” />
  36. 36. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 36 A3 – Cross-Site Scripting (XSS) AWS WAFの cross-site scripting match conditionsを使⽤して軽減 する • どのようなHTTPリクエストコンポーネントをスキャンする必要があり ますか? • Body, Query String, Cookie Header, URI • どのような変換を適⽤する必要がありますか? • URL Decode, Decode HTML Entities • HTTPリクエストではどのようなcontent-typeが許可されますか? • HTMLコンテンツでは無い場合、False Positiveのリスクが有る
  37. 37. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 37 A4 – Broken Access Control ユーザーが何をすることができるかに関する制限の不⼗分/不適切な実 施による⽋陥: • 内部アプリケーションオブジェクトの操作 • コンポーネント/機能レベルのアクセス制御の問題 • パストラバーサル攻撃、ローカルまたはリモートファイルインク ルード(LFI / RFI) 権限設定の不備による⽋陥は、ユーザコンテキストなしでWAFによっ て軽減することは困難です。 https://example.com/download.php?file=..%2F..%2Fetc%2Fpasswd
  38. 38. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 38 A4 – Broken Access Control • パストラバーサル、ファイルのインクルードはString and regex matchingを使⽤して、危険なパターンをフィルタリングします。 • String and regex matching と IP address match conditions を使⽤して既知の場所から既知のユーザーに管理モ ジュールまたはコンポーネントへのアクセスを制限する
  39. 39. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 39 A5 – Security Misconfiguration デフォルト設定は必ずしも⽬的に合っているとは限りません。推奨される デフォルト値も時間とともに変化します Examples • Apacheで ServerTokens Full の設定をそのまま利⽤する • 本番Webサーバーでデフォルトのディレクトリ⼀覧を有効にしたままに する • 本番環境でスタックトレースを返すアプリケーションフレームワークの 設定 • ランタイム、インタプリタなどが古く、セキュアでないデフォルト設定 etc…
  40. 40. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 40 A5 – Security Misconfiguration WAFによる軽減戦略: • デフォルトでインストールまたは有効になっている管理コンソール、 設定またはステータスページのパスへのアクセスをブロックまたは 制限する • プラットフォームに特有の既知の攻撃パターン、特に古いプラット フォームの動作に依存しているレガシーアプリケーションに対して 保護します。 関連するパターンを照合するには、String and regex matchingを使⽤します。 http://example.com/?_SERVER[DOCUMENT_ROOT]=http://bad.com/bad.htm
  41. 41. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 41 A7 – Insufficient Attack Protection セキュリティは全体的な防御が重要になります。WAFを始め、アプリ ケーションの保護が不⼗分な時、重⼤なリスクへと繋がる可能性があ ります。 主な対象範囲: • 不正なHTTPリクエストへの防御 • 変化する攻撃パターンへの適応性 • 異常検出と反応速度 • セキュリティコントロールの有効性検証
  42. 42. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 42 A7 – Insufficient Attack Protection WAFによる軽減戦略: • size constraint conditions を使⽤してHTTP要求コンポーネン トのサイズをアプリケーション関連の最⼤値に制限する • rate-based rules を使⽤して、異常なリクエスト数またはそのよ うなリクエスト数の変更を検出する • 移譲な状態に対応する機能には、 AWS WAF Security Automations を使⽤してください • スキャナとプローブの緩和 • 既知の攻撃者からのリクエストを軽減(レピュテーションリストの使⽤) • Botとスクレーパーの緩和
  43. 43. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 43 A9 – Using Components with Known Vulnerabilities 最も⼀般的な攻撃ベクトルの1つ: • レガシーな環境下における制約のため、脆弱なコンポーネントを使⽤ • 依存性による脆弱なサブコンポーネントの使⽤ • トラッキング/レポーティングの⽋如による脆弱なコンポーネントの使⽤ WAFを使⽤して軽減する: • コンポーネントの使⽤していない機能に対してHTTPリクエストをブロック する • 公開してしまっているサーバサイドコンポーネントへのHTTP要求をブロッ クする
  44. 44. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 44 OWASPʻs Top 10 templateの展開
  45. 45. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 45 OWASPʼs Top 10 のWAFルールの作成(1) • https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-top-10-web-application-vulnerabilities/ • https://s3.us-east-2.amazonaws.com/awswaf-owasp/owasp_10_base.yml CloudFormationを開き owasp_10_base.yml のURLを指定
  46. 46. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 46 OWASPʼs Top 10 のWAFルールの作成(2) 任意のスタックの名前 (重複しないように) Globalに設定した場合は CloudFrontでの利⽤ Regional指定の場合はALB Production環境にはすぐに BLOCKを設定しないこと
  47. 47. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 47 OWASPʼs Top 10 のWAFルールの作成(3) HTTP要求のURIコンポーネントで許可 される最⼤バイト数 HTTP要求のクエリ⽂字列コンポーネ ントで許可される最⼤バイト数 リクエストボディに 許容される最⼤バイト数 Cookieヘッダーで許可される 最⼤バイト数 A7 – Insufficient Attack Protection
  48. 48. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 48 OWASPʼs Top 10 のWAFルールの作成(4) 管理画⾯へのアクセス許可設定 CSRFトークンがリクエストされ予想される カスタムHTTPリクエストヘッダ CSRFトークンのサイズのチェック 本来公開すべきではないサーバサイドの コンポーネントURIプレフィックス A4 – Broken Access Control A8 - Cross-Site Request Forgery
  49. 49. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 49 OWASPʼs Top 10 のWAFルールの作成(5) PROGRESSがCOMPLETEに なるまで待つ
  50. 50. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 50 OWASPʼs Top 10 のWAFルールの作成(6) Web ACLsを開き Filter: Global からowasp-aclができている 事を確認
  51. 51. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 51 OWASPʼs Top 10 のWAFルールの作成(7) Rulesを選択 Add associationをク リック Rule⼀覧が表⽰されて る事を確認 防御対象を選択
  52. 52. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 52 デモ
  53. 53. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 53 QuackyNature.comはAWS WAFによって守られました
  54. 54. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 54 更なる⼀⼿
  55. 55. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 55 IP Address Reputationリストによる防御 http://aws.typepad.com/sajp/2016/05/you-can-use-aws-waf-a-web-application-firewall-to-help-protect-your-web-applications-from-exploits-that-originate-from-grou.html Update IP Blacklists and WAF rules using AWS WAF API Normal Users Malicious users and bots CloudFront AWS WAF Lambda Script Detect malicious IPs Rule Updater CloudWatch events reputation list スパマーやマルウェアの配布元、あるいは ボットネットなどの悪い振る舞いをする(bad actor)発信元として知られ、リスト化されてい るIPアドレス(⾵評リスト、reputation list)から のWebアプリへの攻撃を防御する⽅法 1. Amazon CloudWatch Eventsは、スケジュー ルに従ってLambda functionを実⾏する。 2. サードパーティの作成したreputation listを ダウンロードし、Lambda functionによって 処理される。 3. ブラックリストを作成するために、 Lambda funtionはAWS WAF IPセットを reputation listに書かれた最新のIPアドレス (及びIPレンジ)にアップデートする。 4. AWS WAFはブラックリスト内のIPアドレス からのリクエストを拒否する。
  56. 56. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 56 AWS WAF セキュリティオートメーション https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/ 既知の脆弱性もIP Address Reputation防 御もまとめて全部オートメーション • API Gatewayのハニーポットも⽤意し 悪意のボットやコンテンツスクレー パー等の疑わしいリクエストを送っ てくる送信元IPアドレスをブラック リストに追加 • SQLi、CSRFからの保護ルールの追加 • AWS Lambda のカスタム関数により、 アクセスログを⾃動的に解析して、 疑わしい動作を特定し、該当する送 信元 IP アドレスをブラックリストに 追加 • ⼿動でホワイトリストIP、ブラック リストIPアドレスの追加 • IP Address Reputationをブラックリス トへ⾃動追加
  57. 57. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 57 まとめ
  58. 58. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 58 AWS WAFの料⾦ Three Charge Components 1. Web ACL monthly charge: $5 / Web ACL 2. Rule monthly charge: $1 / rule 3. Request Fee charge: $0.60 / million requests • 初期費⽤は不要 • 複数の CloudFront ディストリビューションと Application Load Balancer でウェブ ACL を再使⽤して も追加料⾦は発⽣しない • 設定したWeb ACL/Rule数、リクエストに基づく課⾦
  59. 59. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 59 AWS WAFの制限 • AWS アカウントあたりのウェブ ACL : 50 * • AWS アカウントあたりのルール : 100 * • 1 秒あたりのリクエスト数 • CloudFront : CloudFront でサポートされる RPS の制限のサポートと同じ • ALB : ウェブ ACL あたり 10,000 * • IP ⼀致条件ごとの IP アドレス範囲 (CIDR 表記) : 10,000 • 5 分間あたりの最⼩レートベース制限 : 2000 • ウェブ ACL あたりのルールの数 : 10 • 各condtionのフィルター数 : 10 http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/limits.html * この制限は申請により引き上げる事ができます
  60. 60. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 60 まとめ • 実践的なセキュリティモデルを簡単に導⼊ • フレキシブルにルールをカスタマイズ可能 • セキュリティオートメーションによる、迅速なルール伝 達およびインシデント対応が可能 • 今すぐ使い始められて、使った分だけのコスト
  61. 61. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 61 参考資料 AWS WAF – Web アプリケーションファイアウォール • https://aws.amazon.com/jp/waf/ AWS WAF と AWS Shield アドバンスドドキュメント • http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/what-is-aws-waf.html Use AWS WAF to Mitigate OWASPʼs Top 10 Web Application Vulnerabilities(blog) • https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps- top-10-web-application-vulnerabilities/ Use AWS WAF to Mitigate OWASPʼs Top 10 Web Application Vulnerabilities(pdf) • https://d0.awsstatic.com/whitepapers/Security/aws-waf-owasp.pdf AWS WAF セキュリティオートメーション • https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/ IP Address Reputationリストを⾃動更新でAWS WAF IP Blacklistsとして使う⽅法 • http://aws.typepad.com/sajp/2016/05/you-can-use-aws-waf-a-web-application-firewall-to-help- protect-your-web-applications-from-exploits-that-originate-from-grou.html
  62. 62. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 62 ご参加ありがとうございました
  63. 63. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 63

×