Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

0

Share

Download to read offline

Jazug_202102_csc_ichikawa

Download to read offline

2021年2月25日の JAZUG の資料

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Jazug_202102_csc_ichikawa

  1. 1. 本資料に記載された情報は株式会社サイバーセキュリティクラウド(以下 CSC)が信頼できると判断した情報源を元に CSCが作成したものですが、その内容および情 報の正確性、完全性等について、何ら保証を行っておらず、また、いかなる責任を持つものではありません。 本資料に記載された内容は、資料作成時点において作 成されたものであり、予告なく変更する場合があります。 本資料はお客様限りで配布するものであり、 CSCの許可なく、本資料をお客様以外の第三者に提示し、閲覧 させ、また、複製、配布、譲渡することは堅く禁じられています。 本文およびデータ等の著作権を含む知的所有権は CSCに帰属し、事前に CSCの書面による承諾を 得ることなく、本資料に修正・加工することは堅く禁じられています。 Azure WAF を活用しよう WAF 自動運用サービス部 部長 市川悠人 第31回 Tokyo Jazug Night 株式会社サイバーセキュリティクラウド 〜WAF の解説から他サービスとの連携まで〜
  2. 2. © Cyber Security Cloud Inc. All Rights Reserved. ToC 2 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  3. 3. © Cyber Security Cloud Inc. All Rights Reserved. 自己紹介 3 市川悠人 株式会社サイバーセキュリティクラウド WAF 自動運用サービス部部長 ERPベンダーで AI と NLP に関する R&D や Web 開発のマネジメントを務める。 課題解決型の AI 人材ではなく、 課題発見型の人材になるべくキャリアチェンジ 2020年 株式会社サイバーセキュリティクラウド入社
  4. 4. © Cyber Security Cloud Inc. All Rights Reserved. 4 会社概要 社  名 株式会社サイバーセキュリティクラウド 設  立 2010年8月 代 表 者 代表取締役社長 兼 CTO 渡辺 洋司 役  員 取締役 倉田 雅史(公認会計士) 社外取締役 伊倉 吉宣(弁護士) 社外取締役 石坂 芳男 常勤監査役 安田 英介(公認会計士) 社外監査役 泉 健太 社外監査役 村田 育生 資 本 金 6億5,855万円(資本準備金を含む) 事業内容 ・AI技術を活用した Webセキュリティサービスの開発・サブスクリプション提供 ・サイバー攻撃の研究及びリサーチ ・AI技術の研究開発 2020年3月に東証マザーズに上場いたしました。
  5. 5. © Cyber Security Cloud Inc. All Rights Reserved. CSCのメインプロダクト 5 Managed Rules for AWS WAF Web Application Firewall (WAF) 及びに WAF 関連サービス Azure WAF 関連製品
  6. 6. © Cyber Security Cloud Inc. All Rights Reserved. ToC 6 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  7. 7. © Cyber Security Cloud Inc. All Rights Reserved. WAF とは L7 の防御層 7 ファイアウォール IPS/IDS WAF Web サイト Web サービス 正常なアクセス Web アプリケーション層への攻撃 ソフトウェア/OSへの攻撃 インフラ/ネットワーク層への攻撃 クロスサイトスクリプティング SQL インジェクション ブルートフォースアタック etc, ...
  8. 8. © Cyber Security Cloud Inc. All Rights Reserved. 攻撃通信の増加は衰えを知らない 8 (億件) 2020年サイバー攻撃関連通信 約5,001億件 ※出典:NICT NICTER 観測レポート2020(2021年2月16日公開)
  9. 9. © Cyber Security Cloud Inc. All Rights Reserved. 杜撰なセキュリティ対策の露呈 WEB セキュリティによってヘッジできるリスク 9 - 信用失墜による顧客の退会 - サービス停止による売上の損失 - プライバシーマークなど認定の取消 - カード会社からのペナルティ - 取引先からの信頼失墜 - サプライチェーンからの締め出し - 会社ブランドの毀損 個人情報・クレジットカード情報の漏洩
  10. 10. © Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 10 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年)
  11. 11. © Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐことのできる攻撃 11 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) HTTPヘッダーインジェクション LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSCインジェクション XPathインジェクション コマンドインジェクション 改行コードインジェクション メールヘッダ・インジェクション NULLバイトインジェクション チームでのセキュアコーディングの徹底 OSSの実装調査には限界がある。
  12. 12. © Cyber Security Cloud Inc. All Rights Reserved. WAF で防ぐのが難しい攻撃の例 12 - インジェクション - 認証不備 - 機密データの露出 - XXE - アクセスコントロールの不備 - セキュリティ設定不備 - XSS - 安全でないデシリアライゼーション - コンポーネントの既知の脆弱性(ゼロデイ攻撃含む) - 十分でない監視とロギング(WAFが監視とロギングも担う) OWASP Top 10 (最新版 2017年) リスト型攻撃や、平文による通信で中間者攻撃され たりするのを WAF で防ぐのは難しい。 Storage Account の公開設定の不備など。 通信機器の設定不備など。 脆弱なセッション情報の保持機構などを使っている と WAF では防げないことがある。
  13. 13. © Cyber Security Cloud Inc. All Rights Reserved. 忘れてはいけない重要な WAF の効果 13 攻撃コスト・リターン ローリターン ハイリターン ローコスト 狙われる 非常によく狙われる ハイコスト 狙われにくい 狙われる 攻撃者に対する セキュリティ対策してます!! というアピール OR
  14. 14. © Cyber Security Cloud Inc. All Rights Reserved. ToC 14 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  15. 15. © Cyber Security Cloud Inc. All Rights Reserved. WAF はエッジテクノロジーと連携 15 Application Gateway Frontdoor CDN エッジサービス Web サイト WAF Policy App Service Storage Account WAF v1 か WAF v2 という SKU のみ利用可能 エンドユーザー プレビュー版 WAF は、Application Gateway, Frontdoor, CDN と連携することで動作し、WAF Policy で実 際の防御ルールを設定できる。
  16. 16. © Cyber Security Cloud Inc. All Rights Reserved. WAF 対応エッジテクノロジー 16 Application Gateway Web トラフィックロードバランサー - SSL 終端 - オートスケール - ゾーン冗長性 - 複数サイトホスティング - WAF - etc, ... SKU として - Standard V1 - Standard V2 - WAF V1 - WAF V2 が存在する。 Standard 系は WAF が使えない。 CDN エンド ユーザーに近いポイントオブプレゼンス (POP) の場所のエッジサーバーに、静的コン テンツをキャッシュして分散配信する仕組み ドキュメントからは動的サイトアクセラレーション 機能があるように読めるが、 Frontdoor を利 用しているとのこと。 Frontdoor 最適なルーティングでクライアントから最も近い 配信拠点を選択して応答。地理的に広い範囲 から高いトラフィックが想定されるなら使いた い。 比較的高価なので、状況によって利用の判断 をしたい。 Frontdoor Frontdoor Standard Frontdoor Premium の SKU に分けられる コンテンツ配信 ロードバランサー
  17. 17. © Cyber Security Cloud Inc. All Rights Reserved. (New)Frontdoor のサービス範囲に変化 17 最近のアップデートでサービスの機能範囲に変化あ り。 https://docs.microsoft.com/en-us/azure/frontdoor/standard-premium/tier-comparison
  18. 18. © Cyber Security Cloud Inc. All Rights Reserved. WAF の適用例 18 Application Gateway Frontdoor リージョンを跨ぐサービスをエッジで守る ロードバランサで守る
  19. 19. © Cyber Security Cloud Inc. All Rights Reserved. WAF Policy とは WAF のルールや設定を 入れる箱。 Application Gateway, Frontdoor 用の 2種類の WAF Policy がある。 WAF Policy A Application Gateway A Application Gateway B Frontdoor A Frontdoor B Listener 2 Listener 3 WAF Policy B WAF Policy C 1つの WAF Policy を複数の リソースに紐付けできる。 Listener 1
  20. 20. © Cyber Security Cloud Inc. All Rights Reserved. [App GW] WAF Policy / ポリシー設定 20 検出モードだと一切攻撃を止め ません。導入の際の動作確認 時に使う。 特定のヘッダーパラメータや Cookie 名を検査対象外すこと ができる。 Body を検査対象とするか。 リクエストのサイズで大きすぎる ものを弾くための設定です。基 本的にはデフォルト値で十分。
  21. 21. © Cyber Security Cloud Inc. All Rights Reserved. [App GW] WAF Policy / 管理されているルール 21 Core Rules Set のバージョン を選択できます。理由がなけれ ば最新版で良い。 ルール毎の ON/OFF ができま すが、個別に防止と検出の設 定ができない。 ルールを無効化すると、観測で きなくなってしまうので正直不 便。 WafCharm を利用すれば こういう不便はない!
  22. 22. © Cyber Security Cloud Inc. All Rights Reserved. [App GW] WAF Policy / カスタムルール 22 優先度 1 - 100 でカスタマイズ ルールを最大100 個まで設定 することができる。 例えば優先度45 と 46 の間に ルールを突っ込もうと思うと並 び合う前後のルール全てを動 かす必要があってGUI でやる のは面倒だったりする。 ちなみにこの100 個という数字 だが、カスタムルールだけで十 分に強力な WAF を構成でき る。
  23. 23. © Cyber Security Cloud Inc. All Rights Reserved. App GW と Frontdoor の WAF 比較 23 App GW Frontdoor レートベース 無し 有り 管理されている ルール 細かいルールの除外設定がで きない 細かいルールの 除外設定が 可能 ポリシー設定 リクエストサイズ リクエストサイズやファイルサイ ズでの検知容易 リクエストサイズやファイルサイ ズでの検知可能 ポリシー設定 除外設定 簡単にできる できない(ルール毎に編集する 必要がある) 総括 簡単に設定できる 細かく設定できる
  24. 24. © Cyber Security Cloud Inc. All Rights Reserved. App GW と Frontdoor の WAF 比較 24 App GW Frontdoor レートベース 無し 有り 管理されている ルール 細かいルールの除外設定がで きない 細かいルールの 除外設定が 可能 ポリシー設定 リクエストサイズ リクエストサイズやファイルサイ ズでの検知容易 リクエストサイズやファイルサイ ズでの検知可能 ポリシー設定 除外設定 簡単にできる できない(ルール毎に編集する 必要がある) 総括 簡単に設定できる 細かく設定できる App GW の WAF も多機能な Frontdoor の WAF に進化していきそう。 レートベースの有無という違いはあるが、App GW と Frontdoor 自体の違いのほうが大きい。
  25. 25. © Cyber Security Cloud Inc. All Rights Reserved. WAF Policy と料金体系 25 WAF Policy プロビジョニング費用 ルールセット プロビジョニング費用 ルールセット 従量課金 カスタムルール プロビジョニング費用 カスタムルール 従量課金 560円/月 2,240円/月 112円/100万リクエスト 112円/月 67.2円/100万リクエスト Frontdoor と CDN (リージョンによる違いはない ) Application Gateway Application Gatewayのインスタンス料金に含まれてしまい、 WAF 単体での計算ができない! (参考までに)AWS WAF とほぼ同額
  26. 26. © Cyber Security Cloud Inc. All Rights Reserved. ToC 26 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  27. 27. © Cyber Security Cloud Inc. All Rights Reserved. Core Rule Set 27 Mod Security の Core Rule Set がベースになっています。 2.2.9, 3.0, 3.1 のバージョンがある。 SQL インジェクションや XSS に対応するルールなど、 基本的に重要なシグネチャは揃っている。 ただし - 誤検知は多め - 個別脆弱性への網羅性は高くない なので CRS で実運用していくとなると、 カスタマイズが必須になってくるかと思われる。 困ったら WafCharm を使って欲しい!
  28. 28. © Cyber Security Cloud Inc. All Rights Reserved. [App GW] カスタムルールの構成 28 ルール名 優先度 条件(複数) 結果 重複する名前は設定できない。 1 - 100 の値を設定します。数字の小さい順に検査されていく。 IP アドレス、番号(数字)、文字列、Geo ロケーションで条件を設定できる。複数の条件 は AND で結合される。 許可する 拒否する 記録する => 詳細は次ページ
  29. 29. © Cyber Security Cloud Inc. All Rights Reserved. 優先度と結果の処理方法 29 優先度 10 条件 日本以外からのアクセス 結果 記録する 優先度 15 条件 /admin.php へのアクセス 結果 拒否する 優先度 17 条件 クエリが (?i)((true|1|W|),s… に マッチする 結果 拒否する 拒否!! 記録 結果が「許可する」「拒否する」であるルールにリクエストが該当した場合、そこ で WAF の検査はストップする。 結果が「記録する」の場合はログに書き出されるものの検査が止まらず、優先 度に基づいて検査が続く。
  30. 30. © Cyber Security Cloud Inc. All Rights Reserved. カスタムルールのサンプル 30 negateCondition で NOT 条件の指定ができたりする。 文字列は operator を使って、部分一致や前置一致などの条件で様々なパラ メータを検査することができる。 また transforms を使えば大文字小文字、URL デコードといった揺らぎを吸 収することができる。 検査結果がマッチしたらリクエストを拒否するという設定。 https://docs.microsoft.com/ja-jp/azure/web-application-firewall/ag/create-custom-waf-rules
  31. 31. © Cyber Security Cloud Inc. All Rights Reserved. ToC 31 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  32. 32. © Cyber Security Cloud Inc. All Rights Reserved. WAF ログの保存 32 Storage Account Event Hubs Azure Monitor Log Analytics ファイルストレージ ファイル形式で行って時間間隔でログを 貯めることができる。 あまりログを利用することがなければ一 番安い。 ログストレージ 時系列でログデータが貯まる 長期保存になるとファイルストレージより も割高だが保存と利用のコストバランス が良い。 リアルタイムデータインジェストサービス リアルタイム性が一番高い。 必ずしも時系列順ではないなどストリー ムデータの特性を理解して使う必要があ る。 保存先というよりはデータの一次受け。 適切に組み合わせて使うことでコストベネフィットを最適化しましょう。
  33. 33. © Cyber Security Cloud Inc. All Rights Reserved. Azure DDoS Protection 33 特に設定しなくても Azure のリソースは DDoS Protection Basic によって守られてい る。ただし Standard だと保証がついていたりする。 https://docs.microsoft.com/ja-jp/azure/ddos-protection/ddos-protection-overview
  34. 34. © Cyber Security Cloud Inc. All Rights Reserved. WAF ログの可視化 Azure Monitor/Log Analytics 34 Azure Monitor はログの集積から、 ビジュアライズまで一貫して行えるサービス群。 歴史的経緯から機能の呼び名が分かりずらいので Azure Monitor についてよくあるご質問 は目を通すとよい。 リソースからの情報をログとメトリクスという形で保管し て、ダッシュボードやBookで可視化、さらには Insights として自動応答システムを組むことができる。 https://docs.microsoft.com/ja-jp/azure/azure-monitor/overview
  35. 35. © Cyber Security Cloud Inc. All Rights Reserved. Azure Monitor/Log Analytics のダッシュボード 35 ログというのが Kusto Query Language(KQL) を 使ってログを可視化することのでき るダッシュボード機能。
  36. 36. © Cyber Security Cloud Inc. All Rights Reserved. Azure Monitor/Log Analytics の Book 36 ブックというのは KQL を使って情報をビジュアライズ する仕組み。 こちらは自分で盛り盛りと素敵な BI ダッシュボードを作成するのもよい が、 Sentinel の WorkBook から WAF のテンプレートブックを活用し た方が圧倒的に楽。 Azure WAF との連携において、他 の項目は色々と使いこなしたくなっ てから調べるので良いと思う。
  37. 37. © Cyber Security Cloud Inc. All Rights Reserved. WAF ログの可視化 Sentinel/Workbook 37 Azure Sentinel 自体は SIEM + SOAR ということでシ ステムログの集積から監視、インシデント発見までを構 築するためのプラットフォーム。 収集から監視については WorkBook テンプレートを利 用して簡単に始められる。 インシデント発見についてもある程度はテンプレートとな る指標が用意されている。 まずはテンプレートから入って、徐々に自分たちの環境 に合わせてカスタマイズしていくのが良いのではない か。 (ドキュメント読んだだけだと具体的にヨクワカラナイ) https://docs.microsoft.com/ja-jp/azure/sentinel/overview
  38. 38. © Cyber Security Cloud Inc. All Rights Reserved. 余談、違いの分かりづらい3銃士 38 Sentinel Security Center Security Defender アップグレード CSPM, CWP, EDR クラウドの設定は安全ですか? VM や DB は安全ですか? ハイブリッドクラウド より多様な Azure リソースの管理 SIEM, SOAR 情報収集 インシデントの発見 通知 自動対応 情報収集 情報収集 アプリケーションログ アクセスログ etc, ...
  39. 39. © Cyber Security Cloud Inc. All Rights Reserved. WAF ログの可視化 Sentinel/Workbook 39 設定の仕方をブログにしたので参 考にしていただければ。 https://www.wafcharm.com/blo g/microsoft-azure-sentinel-azur e-waf-jp/ Sentinel は別途料金が発生する ので注意する必要がある。
  40. 40. © Cyber Security Cloud Inc. All Rights Reserved. ToC 40 1. 自己紹介/会社紹介 2. 前提知識 WAF とは 3. Azure WAF の仕組みについて 4. Azure WAF のルールについて 5. 他 Azure 機能との連携 6. ちょっとだけ宣伝
  41. 41. © Cyber Security Cloud Inc. All Rights Reserved. WafCharm という名前を覚えて欲しい! 41 攻撃遮断くんで培ってきた運用経験や AI による攻撃発見技術をベースにした質の高いシグネチャ お客様の環境に合わせた無償のカスタマイズ(※ Business プラン以上) 400弱の AWS ユーザー(2020年12月時点)に選ばれているという実績 etc, ... 無料で始められる! https://www.wafcharm.com/
  42. 42. © Cyber Security Cloud Inc. All Rights Reserved. END 42 クレジット 本スライド作成にあたっては下記のウェブサイトで公開される素材を利用した。 freepick (https://stories.freepik.com/people)

2021年2月25日の JAZUG の資料

Views

Total views

1,198

On Slideshare

0

From embeds

0

Number of embeds

886

Actions

Downloads

15

Shares

0

Comments

0

Likes

0

×