SlideShare a Scribd company logo
1 of 42
© 2022, Amazon Web Services, Inc. or its Affiliates.
AWS 公式 Webinar
https://amzn.to/JPWebinar
過去資料
https://amzn.to/JPArchive
岡 豊
Solutions Architect, Edge Services
2022/03
AWS Managed Rules for AWS WAF の活⽤
AWS Black Belt Online Seminar
© 2022, Amazon Web Services, Inc. or its Affiliates.
AWS Black Belt Online Seminarとは
• 「サービス別」「ソリューション別」「業種別」のそれぞれの
テーマに分け、アマゾン ウェブ サービス ジャパン合同会社が
主催するオンラインセミナーシリーズです
• AWSの技術担当者が、AWSの各サービスについてテーマごとに
動画を公開します
• お好きな時間、お好きな場所でご受講いただける
オンデマンド形式です
• 動画を⼀時停⽌・スキップすることで、興味がある分野・項⽬だけの
聴講も可能、スキマ時間の学習にもお役⽴ていただけます
2
© 2022, Amazon Web Services, Inc. or its Affiliates.
内容についての注意点
• 本資料では 2022年3⽉時点のサービス内容および価格についてご説明しています。
最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。
• 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に
相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。
• 価格は税抜表記となっています。
⽇本居住者のお客様には別途消費税をご請求させていただきます。
• AWS does not offer binding price quotes. AWS pricing is publicly available and is
subject to change in accordance with the AWS Customer Agreement available at
http://aws.amazon.com/agreement/. Any pricing information included in this
document is provided only as an estimate of usage charges for AWS services based
on certain information that you have provided. Monthly charges will be based on your
actual use of AWS services, and may vary from the estimates provided.
3
© 2022, Amazon Web Services, Inc. or its Affiliates.
⾃⼰紹介
4
• 岡 豊(おか ゆたか)
• 所属︓Edge サービス担当ソリューションアーキテクト
• 担当サービス︓
• Amazon CloudFront
• AWS Global Accelerator
• AWS WAF
• AWS Shield Advanced
• AWS Firewall Manager
© 2022, Amazon Web Services, Inc. or its Affiliates.
本セミナーの対象者
• WAF の⼀般的な知識をお持ちの⽅で、これから AWS Managed
Rules for AWS WAF をご利⽤予定の⽅
• AWS Managed Rules for AWS WAF を既にご利⽤の⽅で、設定⽅法
について更に理解を深めたい⽅
5
© 2022, Amazon Web Services, Inc. or its Affiliates.
アジェンダ
1. AWS Managed Rules for AWS WAF の概要
2. マネージドルールの活⽤に役⽴つ新しい機能
3. 導⼊ステップとチューニング
4. まとめ
6
© 2022, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAF の構成
Web ACL (Web Access Control List)
· · · Rule Statements · · ·
IP Set Rule Group Regex Set
Sampled
Request
AWS WAF
Amazon
CloudWatch
Amazon
CloudFront
Application
Load Balancer
Amazon API
Gateway
Kinesis Firehose
Request
Logging Metrics
AWS
AppSync
Amazon S3 CloudWatch
Logs
© 2022, Amazon Web Services, Inc. or its Affiliates.
AWS Managed Rules for AWS WAF とは
お客様のアプリケーションに利⽤可能
な事前に構成済みのルールセット
• 様々な脅威や⾼リスクな脆弱性に対
する攻撃⼿法などに幅広く対応
• 脅威リサーチチームによる作成及び
メンテナンスを実施
• ボット対策や不正なログイン試⾏の
対策のルールも提供
⼀部のルールを除き、追加費⽤無しで
利⽤可能
8
© 2022, Amazon Web Services, Inc. or its Affiliates.
AWS WAF に導⼊可能なルールの種類
9
マネージドルール 独⾃のカスタムルール
• AWS が提供するマネージドルー
ル (AWS Managed Rules for
AWS WAF)
• パートナー提供のマネージドルー
ル
• お客様が独⾃に作成可能なルー
ル
• マネージドルールと組み合わせ
てカスタムルールを作成するこ
とが可能
© 2022, Amazon Web Services, Inc. or its Affiliates.
AWS Managed Rules for AWS WAF の概要
© 2022, Amazon Web Services, Inc. or its Affiliates.
AWS Managed Rules for AWS WAF の種類
• ベースラインルールグループ
• ユースケース別のルールグループ
• IP レピュテーションルールグループ
• Bot Control ルールグループ
• Account Takeover Prevention ルールグループ
11
© 2022, Amazon Web Services, Inc. or its Affiliates.
ベースラインルールグループ
• 様々な既知の脅威に対する⼀般的な対策ルールを提供
• これらのルールグループのうち1つ以上を選択して、対象のアプリケー
ションを保護する為のベースラインとなるルールを設定
12
Ruleset Description
Core rule set (CRS) OWASP Top 10 の脅威に基づく、⼀般的なウェブアプリケーションに適⽤可能な防御ルール
Admin protection 公開されている管理ページへの外部アクセスをブロックするためのルール
Known bad inputs
無効であることがわかっており、脆弱性の悪⽤または探索に関連するリクエストパターンをブロックする
ルール
Free rule groups
© 2022, Amazon Web Services, Inc. or its Affiliates.
ユースケース別ルールグループ
• AWSWAF を利⽤する様々なユースケースに合わせた追加の保護対策
を提供
• 保護対象のオペレーティングシステムやミドルウェア、アプリケー
ションによって、適切なルールを選択
13
Free rule groups
Ruleset Description
SQL database
SQL インジェクション攻撃など、SQL データベースの悪⽤に関連するリクエストパターンをブロッ
クするルール
Linux operating
system
Linux 固有のローカルファイルインクルージョン (LFI) 攻撃など、Linux 固有の脆弱性の悪⽤に関連
するリクエストパターンをブロックするルール
PHP application
安全でない PHP 関数のインジェクションなど、PHP に固有の脆弱性の悪⽤に関連するリクエストパ
ターンをブロックするルール
WordPress application WordPress サイト特有の脆弱性の悪⽤に関連するリクエストパターンをブロックするルール
POSIX operating
system
POSIX および POSIX と同等のオペレーティングシステムに固有の脆弱性の悪⽤ (ローカルファイル
インクルージョン (LFI) 攻撃など) に関連するリクエストパターンをブロックするルール
Windows operating
system
PowerShell コマンドのリモート実⾏など、Windows 固有の脆弱性の悪⽤に関連するリクエストパ
ターンをブロックするルール
© 2022, Amazon Web Services, Inc. or its Affiliates.
IP レピュテーションルールグループ
• アプリケーションのアクセス元のソース IP アドレスに基づいてリク
エストをブロック
• 不正なボットトラフィックや攻撃に利⽤されている IP アドレスから
のアクセスを制限したい場合や、アクセス元の隠蔽を試みるアクセス
からの制限が可能
14
Free rule groups
Ruleset Description
Amazon IP
reputation list
ボットやその他の脅威に関連づけられている IP アドレスをブロックする、Amazon 内部の脅威イン
テリジェンスに基づくルール
Anonymous IP list
VPN、プロキシ、Tor ノード、ホスティングプロバイダー などのビューワーIDの難読化を許可する
サービスからのリクエストをブロックするルール
© 2022, Amazon Web Services, Inc. or its Affiliates.
Bot Control ルールグループ
ボットと判断されるトラフィックを検知し、それに基づいたアクション
を⾏う
• ボットに特化した マネージドルールを提供
• リクエストによってボットの種別を表すラベルを追加
• ラベル内にボットの種類と特徴(シグナル)を表す情報を付加
AWS WAFを利⽤する全てのユーザーは、Bot Control のルールグループ
を有効にせずとも、⼀定の可視性が得られる
• Bot Control ルールグループを利⽤した場合の効果を事前に取得し、
利⽤の可否を決めることができる
15
Paid rule groups
https://aws.amazon.com/waf/features/bot-control/
© 2022, Amazon Web Services, Inc. or its Affiliates.
Account Takeover Prevention ルールグループ
ログインページに対する不正なアクセスから保護するためのルールグ
ループ
• 盗まれた認証情報を利⽤したログイン試⾏を可視化及び制御
• クレデンシャルスタッフィング攻撃
• ブルートフォース攻撃
• その他の異常なログイン試⾏
• POST されたデータを盗まれたクレデンシャルのデータベースと照合
• アプリケーション統合 SDK の利⽤で検知能⼒を向上(オプション)
• JavaScript、iOS/Android SDK
16
Paid rule groups
https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html
© 2022, Amazon Web Services, Inc. or its Affiliates.
マネージドルールの活⽤に役⽴つ新しい機能
© 2022, Amazon Web Services, Inc. or its Affiliates.
マネージドルールの利⽤に役⽴つ新しい機能
• スコープダウンステートメント
• ラベル
• カスタムレスポンス
• カスタムリクエストヘッダー
• バージョニングと通知
18
© 2022, Amazon Web Services, Inc. or its Affiliates.
スコープダウンステートメント
ルールグループの適⽤範囲を限定
する機能を提供
• 特定のリクエストパターンのみ
ルールグループを適⽤する場合、
または除外する場合に活⽤出来
る機能
• 全てのマネージドルールグルー
プ で利⽤可能
19
© 2022, Amazon Web Services, Inc. or its Affiliates.
スコープダウンステートメントの使⽤例
• Bot Control によって評価したいリクエストパターンを特定し、ルー
ルを適⽤する
• ボットの影響を受けないトラフィック(画像など)は評価しない
• Bot Control のコストは評価対象のリクエストのみ
20
AWS WAF
Amazon
CloudFront
Bot Control
スコープダウンステートメント
© 2022, Amazon Web Services, Inc. or its Affiliates.
ラベル
リクエストに対して追加されるメタデータ
• ラベルの値によってルールを実⾏させることが可能
• アクションに依存せず設定することが可能
• CloudWatch メトリクスやログに追加される
21
Bad Bot
Suspicious
No
Header
No User-
Agent
© 2022, Amazon Web Services, Inc. or its Affiliates.
ラベル の使⽤例
マネージドルールのラベル機能を
使ったレートベースルールの設定
• レートベースルールに条件とし
て指定したいマネージドルール
を Count に設定
• 該当のラベルが付加されたリク
エストを後続のレートベース
ルールでブロック
22
Anonymous IP のラベルが付与されたリクエスト
が5分間に100 リクエストを超えたらブロック
上限 100 リクエスト
Labelに⼀致するリクエスト
© 2022, Amazon Web Services, Inc. or its Affiliates.
カスタムレスポンス
WAF ルールによって ブロック さ
れた際にカスタムレスポンスを返却
以下のカスタマイズが可能:
• Response code
• Headers in the response
• Response body
マネージドルールで利⽤する場合は
ラベル機能を利⽤
23
© 2022, Amazon Web Services, Inc. or its Affiliates.
カスタムレスポンスの使⽤例
マネージドルールのラベル機能を
使って、特定のマネージドルール
のアクションをカスタマイズ
24
IP ReputationList のラベルが付与
されたリクエストは、特定のページ
へリダイレクト
Labelに⼀致するリクエスト
HTTP リダイレクトを設定
© 2022, Amazon Web Services, Inc. or its Affiliates.
カスタムリクエストヘッダー
WAF ルールによって Allow /
Count された際に任意のリクエス
トヘッダーを挿⼊
• “x-amzn-waf-” の prefix が付
与される
• 既存のリクエストヘッダーの変
更は不可
25
© 2022, Amazon Web Services, Inc. or its Affiliates.
カスタムリクエストヘッダーの使⽤例
26
マネージドルールのラベル機能を
使って、特定のマネージドルール
に合致するリクエストにカスタム
ヘッダーを挿⼊ Labelに⼀致するリクエスト
カスタムヘッダーを設定
AnonymousIPList のラベルが付与
されたリクエストは、カスタムヘッ
ダーを挿⼊ (アプリケーション側
でヘッダーによって動作を変える場
合などに利⽤できる)
© 2022, Amazon Web Services, Inc. or its Affiliates.
マネージドルールの⾃動更新の制御
• マネージドルールグループで特定のバージョンに設定し、⾃動更新さ
せないようにすることが可能
• テスト環境等で新しいルールの評価後にルールを更新したり、以前の
バージョンにロールバックすることが可能
• デフォルトでは、マネージドルールグループ内のルールが⾃動更新される
• Amazon Simple Notification Service (Amazon SNS) を通じて、
ルールの更新を事前に受信することが可能
27
© 2022, Amazon Web Services, Inc. or its Affiliates.
バージョンの期限切れアラートの設定
• バージョンを指定する運⽤にした場合に、バージョンの有効期限に近
づいた時に通知を送信するように設定
• CloudWatch の DaysToExpiry メトリクスでモニタリング可能
• バージョンの有効期限が切れると、マネージドルールグループは⾃動
的に最新のデフォルトバージョンに切り替わる
• 重要な更新の⾒落とし防⽌に役⽴つ
28
© 2022, Amazon Web Services, Inc. or its Affiliates.
導⼊ステップとチューニング
© 2022, Amazon Web Services, Inc. or its Affiliates.
最初はルールアクションを Count にしてモニタリングを実施。検知率や
誤検知の有無を確認後、ルールアクションを Block へ変更する
導⼊ステップ
30
• CloudWatchメトリクスでルールを評価
• 誤検知が発⽣しないかサンプルレポートやログを確認
• レートベースのルールの閾値を調整
• 誤検知がないことを確認後、Block へ変更
• ルール毎に段階的に Block モードへ変更することも可能
• サンプルリクエストレポートで確認
• ブロックされたリクエストをログから解析
Block
Count
© 2022, Amazon Web Services, Inc. or its Affiliates.
• Web ACL 内のルールの優先度の順に
リクエストの検査が実⾏される
• ルール内のステートメントでリクエ
ストを検査するための条件を定義、
アクションによって条件に⼀致した
リクエストの処理が実⾏される
• どのルールにも⼀致しない場合、デ
フォルト Web ACL Action が実⾏さ
れる
Web ACL のルールの評価の流れ
31
Web ACL
Priority
・
・
・
Default Web ACL Action
Rule
Action
Statement
Statement
Rule
Action
Rate-based rule
Statement
…
© 2022, Amazon Web Services, Inc. or its Affiliates.
もし正規のリクエストが マネージドルールグループで 検知される場合、またリクエストのパターン
によって⼀部のルールを適⽤したく無い場合、複数の⽅法で特定の条件のリクエストを除外すること
が可能
マネージドルールグループから特定の条件のリクエストを除外
32
除外パターン1
Web ACL
RuleGroup A
Sub Rule
Sub Rule
Sub Rule
…
RuleGroup B
Sub Rule
Sub Rule
Sub Rule
…
ルールグループ
単位で除外
利⽤ケース例:
特定のアプリ
ケーションパス
については、
ルールグループ
から除外
除外パターン2
Web ACL
RuleGroup A
Sub Rule
Sub Rule
Sub Rule
…
RuleGroup B
Sub Rule
Sub Rule
Sub Rule
…
Custom Rule
ルールグループ
のサブルール単
位で除外
利⽤ケース例:
誤検知対応とし
て、特定のリク
エストパターン
のみ⼀部のサブ
ルールから除外
Web ACL
RuleGroup B
Sub Rule
Sub Rule
Sub Rule
…
Custom Rule
除外パターン3
カスタムルール
以下のルール全
て除外
利⽤ケース例:
特定のソースIPア
ドレスからのリ
クエストの場合、
⼀部もしくは全
てのルールグ
ループから除外
RuleGroup A
Sub Rule
Sub Rule
…
Sub Rule
© 2022, Amazon Web Services, Inc. or its Affiliates.
スコープダウンステートメント
を利⽤
• “doesnʼt match the
statement (NOT)” を選択し、
除外したい条件を指定
• AND を使って、複数の除外パ
ターンを定義することが可能
1. ルールグループ単位で特定のリクエスト条件を除外
33
AWS-AWSManagedRulesPHPRuleSet か
ら特定の URI パターンを除外
© 2022, Amazon Web Services, Inc. or its Affiliates.
サブルールを Count に設定
ルールのラベルを利⽤
• 対象のサブルールを Count に設定
し、そのラベルが付加されたリクエ
ストを後続のカスタムルールで除外
条件を指定してブロック
2. ルールグループの サブルール単位で特定リクエスト条件を除外
34
特定のパスパターンを除外
AWS-AWSManagedRulesSQLiRuleSet の
SQLi_QueryArgumentsのラベルが付与されたリクエスト
Action を Block に設定
© 2022, Amazon Web Services, Inc. or its Affiliates.
優先度の⾼い除外⽤カスタムルール
を利⽤
• 除外条件を指定したカスタムルー
ルを作成し、Actionを Allowにす
る。それを除外したいルールグ
ループよりも⾼い優先度に設定す
る
3. カスタムルール以下のルールグループ全体から特定リクエスト
を除外
35
カスタムルールを作成
許可するIPアドレスのリストを指定
Action を Allow に設定
© 2022, Amazon Web Services, Inc. or its Affiliates.
Block への切り替え後、モニタリングを継続して実施
• CloudWatchメトリクスによるアラーム通知
• 異常を速やかに把握
• Athena や CloudWatch Log insights を利⽤したログ解析
• ブロックされたトラフィックを定期的に確認
• 誤検知が疑われる場合、ログからリクエストのパターンを特定
• マネージドルールの更新通知を設定し、更新状況を把握
• ⾃動更新にしない場合はバージョンの期限切れアラートを設定
導⼊後の運⽤
36
© 2022, Amazon Web Services, Inc. or its Affiliates.
• AWS Managed Rules for AWS WAF は様々な事前構成済みのルール
セットの中から直ぐに導⼊可能なマネージドルール
• ラベルの機能により、マネージドルールにカスタムレスポンスやカスタ
ムヘッダー、レートベースルールを組み合わせて利⽤することが可能
• マネージドルールのバージョンの指定により、任意のタイミングでルー
ルの更新が可能
• バージョンの期限切れアラートを設定することにより、重要な更新の⾒
落としを防⽌
• スコープダウンステートメントやラベルを活⽤することによって、特定
のリクエスト条件の除外設定が柔軟に対応可能
まとめ
37
© 2022, Amazon Web Services, Inc. or its Affiliates.
本資料に関するお問い合わせ・ご感想
• 技術的な内容に関しましては、有料のAWSサポート窓⼝へ
お問い合わせください
• https://aws.amazon.com/jp/premiumsupport/
• 料⾦⾯でのお問い合わせに関しましては、カスタマーサポート窓⼝へ
お問い合わせください(マネジメントコンソールへのログインが必要です)
• https://console.aws.amazon.com/support/home#/case/create?issueTy
pe=customer-service
• 具体的な案件に対する構成相談は、後述する個別技術相談会をご活⽤ください
38
ご感想はTwitterへ︕ハッシュタグは以下をご利⽤ください
#awsblackbelt
© 2022, Amazon Web Services, Inc. or its Affiliates.
AWSの⽇本語資料の場所「AWS 資料」で検索
39
https://amzn.to/JPArchive
© 2022, Amazon Web Services, Inc. or its Affiliates.
AWSのハンズオン資料の場所「AWS ハンズオン」で検索
40
https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-hands-on/
© 2022, Amazon Web Services, Inc. or its Affiliates.
AWS 個別相談会
o 毎週「AWS 個別相談会」を実施中
o AWSのソリューションアーキテクト(SA)に
対策などを相談することも可能
o 申込みは下記のURLから
o https://pages.awscloud.com/JAPAN-event-SP-Weekly-
Sales-Consulting-Seminar-2021-reg-event.html
41
で[検索]
AWS 個別相談会
© 2022, Amazon Web Services, Inc. or its Affiliates.
ご視聴ありがとうございました
42

More Related Content

What's hot

What's hot (20)

20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
 
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic BeanstalkAWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
 
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
20210126 AWS Black Belt Online Seminar AWS CodeDeploy20210126 AWS Black Belt Online Seminar AWS CodeDeploy
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
 
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
 
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway 20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
 
20180322 AWS Black Belt Online Seminar AWS Snowball Edge
20180322 AWS Black Belt Online Seminar AWS Snowball Edge20180322 AWS Black Belt Online Seminar AWS Snowball Edge
20180322 AWS Black Belt Online Seminar AWS Snowball Edge
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model  20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
 
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
AWS Black Belt Online Seminar 2017 Amazon DynamoDB AWS Black Belt Online Seminar 2017 Amazon DynamoDB
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
 
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
 
AWS Black Belt Online Seminar 2017 AWS OpsWorks
AWS Black Belt Online Seminar 2017 AWS OpsWorksAWS Black Belt Online Seminar 2017 AWS OpsWorks
AWS Black Belt Online Seminar 2017 AWS OpsWorks
 
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
 
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
 
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage GatewayAWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
 
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
 
AWS Black Belt online seminar 2017 Snowball
AWS Black Belt online seminar 2017 SnowballAWS Black Belt online seminar 2017 Snowball
AWS Black Belt online seminar 2017 Snowball
 
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAFAWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
 
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
 

Similar to 202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用

Similar to 202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用 (20)

[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
 
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
 
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
 
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
 
Security hub workshop
Security hub workshopSecurity hub workshop
Security hub workshop
 
01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデート01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデート
 
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないことnew AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないこと
 
AWS Black Belt Techシリーズ AWS IAM
AWS Black Belt Techシリーズ AWS IAMAWS Black Belt Techシリーズ AWS IAM
AWS Black Belt Techシリーズ AWS IAM
 
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016 AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
 
20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
 
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
 
AWS Black Belt Tech シリーズ 2015 - AWS WAF
AWS Black Belt Tech シリーズ 2015 - AWS WAFAWS Black Belt Tech シリーズ 2015 - AWS WAF
AWS Black Belt Tech シリーズ 2015 - AWS WAF
 
AWS Black Belt Techシリーズ AWS Service Catalog
AWS Black Belt Techシリーズ AWS Service CatalogAWS Black Belt Techシリーズ AWS Service Catalog
AWS Black Belt Techシリーズ AWS Service Catalog
 
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
 
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
 
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
 

More from Amazon Web Services Japan

More from Amazon Web Services Japan (20)

202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
 
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
 
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
 
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
 
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
 
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
 
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDDAmazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDD
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
 
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
 
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するためにAmazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
 
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
 
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
 
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
 

Recently uploaded

Recently uploaded (9)

LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイルLoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
 
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
 
Keywordmap overview material/CINC.co.ltd
Keywordmap overview material/CINC.co.ltdKeywordmap overview material/CINC.co.ltd
Keywordmap overview material/CINC.co.ltd
 
情報を表現するときのポイント
情報を表現するときのポイント情報を表現するときのポイント
情報を表現するときのポイント
 
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアルLoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
 
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
 
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdfネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
 
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
 
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
 

202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用

  • 1. © 2022, Amazon Web Services, Inc. or its Affiliates. AWS 公式 Webinar https://amzn.to/JPWebinar 過去資料 https://amzn.to/JPArchive 岡 豊 Solutions Architect, Edge Services 2022/03 AWS Managed Rules for AWS WAF の活⽤ AWS Black Belt Online Seminar
  • 2. © 2022, Amazon Web Services, Inc. or its Affiliates. AWS Black Belt Online Seminarとは • 「サービス別」「ソリューション別」「業種別」のそれぞれの テーマに分け、アマゾン ウェブ サービス ジャパン合同会社が 主催するオンラインセミナーシリーズです • AWSの技術担当者が、AWSの各サービスについてテーマごとに 動画を公開します • お好きな時間、お好きな場所でご受講いただける オンデマンド形式です • 動画を⼀時停⽌・スキップすることで、興味がある分野・項⽬だけの 聴講も可能、スキマ時間の学習にもお役⽴ていただけます 2
  • 3. © 2022, Amazon Web Services, Inc. or its Affiliates. 内容についての注意点 • 本資料では 2022年3⽉時点のサービス内容および価格についてご説明しています。 最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 • 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に 相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 • 価格は税抜表記となっています。 ⽇本居住者のお客様には別途消費税をご請求させていただきます。 • AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided. 3
  • 4. © 2022, Amazon Web Services, Inc. or its Affiliates. ⾃⼰紹介 4 • 岡 豊(おか ゆたか) • 所属︓Edge サービス担当ソリューションアーキテクト • 担当サービス︓ • Amazon CloudFront • AWS Global Accelerator • AWS WAF • AWS Shield Advanced • AWS Firewall Manager
  • 5. © 2022, Amazon Web Services, Inc. or its Affiliates. 本セミナーの対象者 • WAF の⼀般的な知識をお持ちの⽅で、これから AWS Managed Rules for AWS WAF をご利⽤予定の⽅ • AWS Managed Rules for AWS WAF を既にご利⽤の⽅で、設定⽅法 について更に理解を深めたい⽅ 5
  • 6. © 2022, Amazon Web Services, Inc. or its Affiliates. アジェンダ 1. AWS Managed Rules for AWS WAF の概要 2. マネージドルールの活⽤に役⽴つ新しい機能 3. 導⼊ステップとチューニング 4. まとめ 6
  • 7. © 2022, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS WAF の構成 Web ACL (Web Access Control List) · · · Rule Statements · · · IP Set Rule Group Regex Set Sampled Request AWS WAF Amazon CloudWatch Amazon CloudFront Application Load Balancer Amazon API Gateway Kinesis Firehose Request Logging Metrics AWS AppSync Amazon S3 CloudWatch Logs
  • 8. © 2022, Amazon Web Services, Inc. or its Affiliates. AWS Managed Rules for AWS WAF とは お客様のアプリケーションに利⽤可能 な事前に構成済みのルールセット • 様々な脅威や⾼リスクな脆弱性に対 する攻撃⼿法などに幅広く対応 • 脅威リサーチチームによる作成及び メンテナンスを実施 • ボット対策や不正なログイン試⾏の 対策のルールも提供 ⼀部のルールを除き、追加費⽤無しで 利⽤可能 8
  • 9. © 2022, Amazon Web Services, Inc. or its Affiliates. AWS WAF に導⼊可能なルールの種類 9 マネージドルール 独⾃のカスタムルール • AWS が提供するマネージドルー ル (AWS Managed Rules for AWS WAF) • パートナー提供のマネージドルー ル • お客様が独⾃に作成可能なルー ル • マネージドルールと組み合わせ てカスタムルールを作成するこ とが可能
  • 10. © 2022, Amazon Web Services, Inc. or its Affiliates. AWS Managed Rules for AWS WAF の概要
  • 11. © 2022, Amazon Web Services, Inc. or its Affiliates. AWS Managed Rules for AWS WAF の種類 • ベースラインルールグループ • ユースケース別のルールグループ • IP レピュテーションルールグループ • Bot Control ルールグループ • Account Takeover Prevention ルールグループ 11
  • 12. © 2022, Amazon Web Services, Inc. or its Affiliates. ベースラインルールグループ • 様々な既知の脅威に対する⼀般的な対策ルールを提供 • これらのルールグループのうち1つ以上を選択して、対象のアプリケー ションを保護する為のベースラインとなるルールを設定 12 Ruleset Description Core rule set (CRS) OWASP Top 10 の脅威に基づく、⼀般的なウェブアプリケーションに適⽤可能な防御ルール Admin protection 公開されている管理ページへの外部アクセスをブロックするためのルール Known bad inputs 無効であることがわかっており、脆弱性の悪⽤または探索に関連するリクエストパターンをブロックする ルール Free rule groups
  • 13. © 2022, Amazon Web Services, Inc. or its Affiliates. ユースケース別ルールグループ • AWSWAF を利⽤する様々なユースケースに合わせた追加の保護対策 を提供 • 保護対象のオペレーティングシステムやミドルウェア、アプリケー ションによって、適切なルールを選択 13 Free rule groups Ruleset Description SQL database SQL インジェクション攻撃など、SQL データベースの悪⽤に関連するリクエストパターンをブロッ クするルール Linux operating system Linux 固有のローカルファイルインクルージョン (LFI) 攻撃など、Linux 固有の脆弱性の悪⽤に関連 するリクエストパターンをブロックするルール PHP application 安全でない PHP 関数のインジェクションなど、PHP に固有の脆弱性の悪⽤に関連するリクエストパ ターンをブロックするルール WordPress application WordPress サイト特有の脆弱性の悪⽤に関連するリクエストパターンをブロックするルール POSIX operating system POSIX および POSIX と同等のオペレーティングシステムに固有の脆弱性の悪⽤ (ローカルファイル インクルージョン (LFI) 攻撃など) に関連するリクエストパターンをブロックするルール Windows operating system PowerShell コマンドのリモート実⾏など、Windows 固有の脆弱性の悪⽤に関連するリクエストパ ターンをブロックするルール
  • 14. © 2022, Amazon Web Services, Inc. or its Affiliates. IP レピュテーションルールグループ • アプリケーションのアクセス元のソース IP アドレスに基づいてリク エストをブロック • 不正なボットトラフィックや攻撃に利⽤されている IP アドレスから のアクセスを制限したい場合や、アクセス元の隠蔽を試みるアクセス からの制限が可能 14 Free rule groups Ruleset Description Amazon IP reputation list ボットやその他の脅威に関連づけられている IP アドレスをブロックする、Amazon 内部の脅威イン テリジェンスに基づくルール Anonymous IP list VPN、プロキシ、Tor ノード、ホスティングプロバイダー などのビューワーIDの難読化を許可する サービスからのリクエストをブロックするルール
  • 15. © 2022, Amazon Web Services, Inc. or its Affiliates. Bot Control ルールグループ ボットと判断されるトラフィックを検知し、それに基づいたアクション を⾏う • ボットに特化した マネージドルールを提供 • リクエストによってボットの種別を表すラベルを追加 • ラベル内にボットの種類と特徴(シグナル)を表す情報を付加 AWS WAFを利⽤する全てのユーザーは、Bot Control のルールグループ を有効にせずとも、⼀定の可視性が得られる • Bot Control ルールグループを利⽤した場合の効果を事前に取得し、 利⽤の可否を決めることができる 15 Paid rule groups https://aws.amazon.com/waf/features/bot-control/
  • 16. © 2022, Amazon Web Services, Inc. or its Affiliates. Account Takeover Prevention ルールグループ ログインページに対する不正なアクセスから保護するためのルールグ ループ • 盗まれた認証情報を利⽤したログイン試⾏を可視化及び制御 • クレデンシャルスタッフィング攻撃 • ブルートフォース攻撃 • その他の異常なログイン試⾏ • POST されたデータを盗まれたクレデンシャルのデータベースと照合 • アプリケーション統合 SDK の利⽤で検知能⼒を向上(オプション) • JavaScript、iOS/Android SDK 16 Paid rule groups https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html
  • 17. © 2022, Amazon Web Services, Inc. or its Affiliates. マネージドルールの活⽤に役⽴つ新しい機能
  • 18. © 2022, Amazon Web Services, Inc. or its Affiliates. マネージドルールの利⽤に役⽴つ新しい機能 • スコープダウンステートメント • ラベル • カスタムレスポンス • カスタムリクエストヘッダー • バージョニングと通知 18
  • 19. © 2022, Amazon Web Services, Inc. or its Affiliates. スコープダウンステートメント ルールグループの適⽤範囲を限定 する機能を提供 • 特定のリクエストパターンのみ ルールグループを適⽤する場合、 または除外する場合に活⽤出来 る機能 • 全てのマネージドルールグルー プ で利⽤可能 19
  • 20. © 2022, Amazon Web Services, Inc. or its Affiliates. スコープダウンステートメントの使⽤例 • Bot Control によって評価したいリクエストパターンを特定し、ルー ルを適⽤する • ボットの影響を受けないトラフィック(画像など)は評価しない • Bot Control のコストは評価対象のリクエストのみ 20 AWS WAF Amazon CloudFront Bot Control スコープダウンステートメント
  • 21. © 2022, Amazon Web Services, Inc. or its Affiliates. ラベル リクエストに対して追加されるメタデータ • ラベルの値によってルールを実⾏させることが可能 • アクションに依存せず設定することが可能 • CloudWatch メトリクスやログに追加される 21 Bad Bot Suspicious No Header No User- Agent
  • 22. © 2022, Amazon Web Services, Inc. or its Affiliates. ラベル の使⽤例 マネージドルールのラベル機能を 使ったレートベースルールの設定 • レートベースルールに条件とし て指定したいマネージドルール を Count に設定 • 該当のラベルが付加されたリク エストを後続のレートベース ルールでブロック 22 Anonymous IP のラベルが付与されたリクエスト が5分間に100 リクエストを超えたらブロック 上限 100 リクエスト Labelに⼀致するリクエスト
  • 23. © 2022, Amazon Web Services, Inc. or its Affiliates. カスタムレスポンス WAF ルールによって ブロック さ れた際にカスタムレスポンスを返却 以下のカスタマイズが可能: • Response code • Headers in the response • Response body マネージドルールで利⽤する場合は ラベル機能を利⽤ 23
  • 24. © 2022, Amazon Web Services, Inc. or its Affiliates. カスタムレスポンスの使⽤例 マネージドルールのラベル機能を 使って、特定のマネージドルール のアクションをカスタマイズ 24 IP ReputationList のラベルが付与 されたリクエストは、特定のページ へリダイレクト Labelに⼀致するリクエスト HTTP リダイレクトを設定
  • 25. © 2022, Amazon Web Services, Inc. or its Affiliates. カスタムリクエストヘッダー WAF ルールによって Allow / Count された際に任意のリクエス トヘッダーを挿⼊ • “x-amzn-waf-” の prefix が付 与される • 既存のリクエストヘッダーの変 更は不可 25
  • 26. © 2022, Amazon Web Services, Inc. or its Affiliates. カスタムリクエストヘッダーの使⽤例 26 マネージドルールのラベル機能を 使って、特定のマネージドルール に合致するリクエストにカスタム ヘッダーを挿⼊ Labelに⼀致するリクエスト カスタムヘッダーを設定 AnonymousIPList のラベルが付与 されたリクエストは、カスタムヘッ ダーを挿⼊ (アプリケーション側 でヘッダーによって動作を変える場 合などに利⽤できる)
  • 27. © 2022, Amazon Web Services, Inc. or its Affiliates. マネージドルールの⾃動更新の制御 • マネージドルールグループで特定のバージョンに設定し、⾃動更新さ せないようにすることが可能 • テスト環境等で新しいルールの評価後にルールを更新したり、以前の バージョンにロールバックすることが可能 • デフォルトでは、マネージドルールグループ内のルールが⾃動更新される • Amazon Simple Notification Service (Amazon SNS) を通じて、 ルールの更新を事前に受信することが可能 27
  • 28. © 2022, Amazon Web Services, Inc. or its Affiliates. バージョンの期限切れアラートの設定 • バージョンを指定する運⽤にした場合に、バージョンの有効期限に近 づいた時に通知を送信するように設定 • CloudWatch の DaysToExpiry メトリクスでモニタリング可能 • バージョンの有効期限が切れると、マネージドルールグループは⾃動 的に最新のデフォルトバージョンに切り替わる • 重要な更新の⾒落とし防⽌に役⽴つ 28
  • 29. © 2022, Amazon Web Services, Inc. or its Affiliates. 導⼊ステップとチューニング
  • 30. © 2022, Amazon Web Services, Inc. or its Affiliates. 最初はルールアクションを Count にしてモニタリングを実施。検知率や 誤検知の有無を確認後、ルールアクションを Block へ変更する 導⼊ステップ 30 • CloudWatchメトリクスでルールを評価 • 誤検知が発⽣しないかサンプルレポートやログを確認 • レートベースのルールの閾値を調整 • 誤検知がないことを確認後、Block へ変更 • ルール毎に段階的に Block モードへ変更することも可能 • サンプルリクエストレポートで確認 • ブロックされたリクエストをログから解析 Block Count
  • 31. © 2022, Amazon Web Services, Inc. or its Affiliates. • Web ACL 内のルールの優先度の順に リクエストの検査が実⾏される • ルール内のステートメントでリクエ ストを検査するための条件を定義、 アクションによって条件に⼀致した リクエストの処理が実⾏される • どのルールにも⼀致しない場合、デ フォルト Web ACL Action が実⾏さ れる Web ACL のルールの評価の流れ 31 Web ACL Priority ・ ・ ・ Default Web ACL Action Rule Action Statement Statement Rule Action Rate-based rule Statement …
  • 32. © 2022, Amazon Web Services, Inc. or its Affiliates. もし正規のリクエストが マネージドルールグループで 検知される場合、またリクエストのパターン によって⼀部のルールを適⽤したく無い場合、複数の⽅法で特定の条件のリクエストを除外すること が可能 マネージドルールグループから特定の条件のリクエストを除外 32 除外パターン1 Web ACL RuleGroup A Sub Rule Sub Rule Sub Rule … RuleGroup B Sub Rule Sub Rule Sub Rule … ルールグループ 単位で除外 利⽤ケース例: 特定のアプリ ケーションパス については、 ルールグループ から除外 除外パターン2 Web ACL RuleGroup A Sub Rule Sub Rule Sub Rule … RuleGroup B Sub Rule Sub Rule Sub Rule … Custom Rule ルールグループ のサブルール単 位で除外 利⽤ケース例: 誤検知対応とし て、特定のリク エストパターン のみ⼀部のサブ ルールから除外 Web ACL RuleGroup B Sub Rule Sub Rule Sub Rule … Custom Rule 除外パターン3 カスタムルール 以下のルール全 て除外 利⽤ケース例: 特定のソースIPア ドレスからのリ クエストの場合、 ⼀部もしくは全 てのルールグ ループから除外 RuleGroup A Sub Rule Sub Rule … Sub Rule
  • 33. © 2022, Amazon Web Services, Inc. or its Affiliates. スコープダウンステートメント を利⽤ • “doesnʼt match the statement (NOT)” を選択し、 除外したい条件を指定 • AND を使って、複数の除外パ ターンを定義することが可能 1. ルールグループ単位で特定のリクエスト条件を除外 33 AWS-AWSManagedRulesPHPRuleSet か ら特定の URI パターンを除外
  • 34. © 2022, Amazon Web Services, Inc. or its Affiliates. サブルールを Count に設定 ルールのラベルを利⽤ • 対象のサブルールを Count に設定 し、そのラベルが付加されたリクエ ストを後続のカスタムルールで除外 条件を指定してブロック 2. ルールグループの サブルール単位で特定リクエスト条件を除外 34 特定のパスパターンを除外 AWS-AWSManagedRulesSQLiRuleSet の SQLi_QueryArgumentsのラベルが付与されたリクエスト Action を Block に設定
  • 35. © 2022, Amazon Web Services, Inc. or its Affiliates. 優先度の⾼い除外⽤カスタムルール を利⽤ • 除外条件を指定したカスタムルー ルを作成し、Actionを Allowにす る。それを除外したいルールグ ループよりも⾼い優先度に設定す る 3. カスタムルール以下のルールグループ全体から特定リクエスト を除外 35 カスタムルールを作成 許可するIPアドレスのリストを指定 Action を Allow に設定
  • 36. © 2022, Amazon Web Services, Inc. or its Affiliates. Block への切り替え後、モニタリングを継続して実施 • CloudWatchメトリクスによるアラーム通知 • 異常を速やかに把握 • Athena や CloudWatch Log insights を利⽤したログ解析 • ブロックされたトラフィックを定期的に確認 • 誤検知が疑われる場合、ログからリクエストのパターンを特定 • マネージドルールの更新通知を設定し、更新状況を把握 • ⾃動更新にしない場合はバージョンの期限切れアラートを設定 導⼊後の運⽤ 36
  • 37. © 2022, Amazon Web Services, Inc. or its Affiliates. • AWS Managed Rules for AWS WAF は様々な事前構成済みのルール セットの中から直ぐに導⼊可能なマネージドルール • ラベルの機能により、マネージドルールにカスタムレスポンスやカスタ ムヘッダー、レートベースルールを組み合わせて利⽤することが可能 • マネージドルールのバージョンの指定により、任意のタイミングでルー ルの更新が可能 • バージョンの期限切れアラートを設定することにより、重要な更新の⾒ 落としを防⽌ • スコープダウンステートメントやラベルを活⽤することによって、特定 のリクエスト条件の除外設定が柔軟に対応可能 まとめ 37
  • 38. © 2022, Amazon Web Services, Inc. or its Affiliates. 本資料に関するお問い合わせ・ご感想 • 技術的な内容に関しましては、有料のAWSサポート窓⼝へ お問い合わせください • https://aws.amazon.com/jp/premiumsupport/ • 料⾦⾯でのお問い合わせに関しましては、カスタマーサポート窓⼝へ お問い合わせください(マネジメントコンソールへのログインが必要です) • https://console.aws.amazon.com/support/home#/case/create?issueTy pe=customer-service • 具体的な案件に対する構成相談は、後述する個別技術相談会をご活⽤ください 38 ご感想はTwitterへ︕ハッシュタグは以下をご利⽤ください #awsblackbelt
  • 39. © 2022, Amazon Web Services, Inc. or its Affiliates. AWSの⽇本語資料の場所「AWS 資料」で検索 39 https://amzn.to/JPArchive
  • 40. © 2022, Amazon Web Services, Inc. or its Affiliates. AWSのハンズオン資料の場所「AWS ハンズオン」で検索 40 https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-hands-on/
  • 41. © 2022, Amazon Web Services, Inc. or its Affiliates. AWS 個別相談会 o 毎週「AWS 個別相談会」を実施中 o AWSのソリューションアーキテクト(SA)に 対策などを相談することも可能 o 申込みは下記のURLから o https://pages.awscloud.com/JAPAN-event-SP-Weekly- Sales-Consulting-Seminar-2021-reg-event.html 41 で[検索] AWS 個別相談会
  • 42. © 2022, Amazon Web Services, Inc. or its Affiliates. ご視聴ありがとうございました 42