Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWS WAF でセキュリティ対策_JAWS-UG沖縄勉強会_Cloud on the BEACH 2016

4,783 views

Published on

JAWS-UG 沖縄勉強会 Cloud on the BEACH 2016 勉強会の部(経験者トラック)の発表資料です。

Published in: Internet
  • Be the first to comment

AWS WAF でセキュリティ対策_JAWS-UG沖縄勉強会_Cloud on the BEACH 2016

  1. 1. 2016/04/29(金) JAWS-UG沖縄勉強会 Cloud on the beach 2016 勉強会の部(経験者向けトラック) 株式会社レキサス 与儀実彦 AWS WAF で セキュリティ対策
  2. 2. 与儀実彦(よぎさねひこ) 所属:株式会社レキサス お仕事:AWSの提案・設計・構築・運用 好きなAWSサービス:Amazon S3 好きな物理学者:リチャード・ファインマン JAWS-UG沖縄コアメンバー 自己紹介
  3. 3. 振り返ってみると、Cloud on the beach 2013 から毎年登壇中
  4. 4. 最近特に思うこと、AWSサービス増えすぎ。。。
  5. 5. リリース回数多すぎ。。。 http://aws.amazon.com/jp/aws_history/
  6. 6. アジェンダ AWS WAF とは? AWSのセキュリティ CloudFront とは? AWS WAFでできること 簡単なデモ まとめ
  7. 7. AWS WAF とは? ・AWSの提供するWAF(Web Application Firewall)のサービス ・現在のところCloudFrontに対してのみ利用可能 ・Web ACLとして作成したルールをCloudFrontに適応するイメージ CloudFront WAF
  8. 8. WAF は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護 するセキュリティ対策の一つです。WAF はウェブアプリケーションの実装面での根本的な対策で はなく、攻撃による影響を低減する運用面での対策です。 WAF は、WAF を導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサイ トと利用者間の通信の中身を機械的に検査します。 WAF を使用することで以下の効果を期待できます。 脆弱性を悪用した攻撃からウェブアプリケーションを防御する 脆弱性を悪用した攻撃を検出する 複数のウェブアプリケーションへの攻撃をまとめて防御する IPA 独立行政法人 情報処理推進機構 提供 『Web Application Firewall (WAF)読本 改訂第2版』 より一部抜粋 https://www.ipa.go.jp/files/000017312.pdf WAF(Web Application Firewall)とは?
  9. 9. AWS WAFの導入のイメージ Availability Zone B WEBサーバ Availability Zone A WEBサーバ DB セカンダリ DB プライマリ ELB WAF Availability Zone B WEBサーバ Availability Zone A WEBサーバ DB セカンダリ DB プライマリ ELB CloudFront
  10. 10. AWS WAFの導入のイメージ Availability Zone B WEBサーバ Availability Zone A WEBサーバ DB セカンダリ DB プライマリ ELB CloudFront WAF Availability Zone B WEBサーバ Availability Zone A WEBサーバ DB セカンダリ DB プライマリ ELB CloudFront
  11. 11. AWSのセキュリティ ・クラウドセキュリティは AWS の最優先事項です。 AWS のお客様は、セキュリティを最も重視する組織の要 件を満たすよう構築されたデータセンターとネットワーク アーキテクチャを利用できます。 https://aws.amazon.com/jp/security/
  12. 12. AWSのセキュリティ http://www.slideshare.net/AmazonWebServicesJapan/awswebinar-aws-59853341
  13. 13. AWSの責任共有モデル OSより上のレイヤーのセキュリティはユーザ自身が責任をもって担保 OSより下のレイヤーのセキュリティは、AWSが責任をもって担保
  14. 14. AWSの責任共有モデル(データセンター) ・データセンターの場所を明かさない ・Amazon.comのECサイトもAWS上にある ・米国政府専用リージョンもある ・CIA(中央情報局)も利用している ・金融系の導入事例も多数あり ・AWS社内の人でも、データセンターで働く人とAWSを使う人が直接接触で きないようになっているらしい
  15. 15. AWSの責任共有モデル(レポート、認定、第三者認証) OSより上のレイヤーのセキュリティはユーザ自身が責任をもって担保 OSより下のレイヤーのセキュリティは、AWSが責任をもって担保 ▪ AWSは以下のような第三者認証を取得済み SSAE 16/ISAE 3402基準、SOC1レポート(旧SAS70) SOC2レポート SOC3レポート【NDA無で入手可能】 ISO 27001 Certification PCI DSS Level 1 Service Provider FISMA moderate Sarbanes-Oxley (SOX) データセンターおよび組織のセキュリティ担保責任を果たすため、 多数の第三者認証を取得して更新し続けている。
  16. 16. (小ネタ) AWSのデータセンターは、Amazon.comのためにつくら れものではなかった(らしい)。 http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-10-years-of-aws 2006年 AWSサービス開始 2010年 Amazon.comのECサイトがAWSへ移行
  17. 17. AWSの責任共有モデル OSより上のレイヤーのセキュリティはユーザ自身が責任をもって担保 →どうやる?
  18. 18. ・AWSセキュリティのベストプラクティスに従ったAWS設計をする。 ・安全なWebアプリケーション、ウェブサイトを作る。 ・ソフトウェア脆弱性アップデート対応や脆弱性情報収集を継続実施。 まずは基本的なことから。
  19. 19. Amazon Inspectorでアプリケーションの脆弱性診断。 ・2016年4月20日に一般提供開始、東京リージョンでも利用可能に。 ・EC2インスタンスに専用のエージェントをインストールして、実行するだ けでアプリケーションの脆弱性診断が実施可能に。 →サイト公開前などに実施して、セキュリティ的な問題点や穴がないか確認 して、安全なシステム構築の一助に。また、サイト公開後の定期的な脆弱性 診断の実行して、新たな脅威の検出・対応を。 https://aws.amazon.com/jp/inspector/
  20. 20. WAF は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護 するセキュリティ対策の一つです。WAF はウェブアプリケーションの実装面での根本的な対策で はなく、攻撃による影響を低減する運用面での対策です。 WAF は、WAF を導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサイ トと利用者間の通信の中身を機械的に検査します。 WAF を使用することで以下の効果を期待できます。 脆弱性を悪用した攻撃からウェブアプリケーションを防御する 脆弱性を悪用した攻撃を検出する 複数のウェブアプリケーションへの攻撃をまとめて防御する IPA 独立行政法人 情報処理推進機構 提供 『Web Application Firewall (WAF)読本 改訂第2版』 より一部抜粋 https://www.ipa.go.jp/files/000017312.pdf WAF(Web Application Firewall)とは?
  21. 21. Amazon CloudFrontとは? http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-2016-amazon-cloudfront ・CDN(Contents Delivery Network)のサービス →コンテンツのキャッシュ配信 1ディストリビューション当たり、デフォルトで10Gbps、15,000RPS まで耐えうる。(超える場合は上限申請) →DDoS攻撃対策としても、かなり有効。 →ある意味DDoS攻撃なYahoo砲などのアクセス集中対策にかなり有効。
  22. 22. Amazon CloudFrontとは? ・CDN(Contents Delivery Network)のサービス →コンテンツのキャッシュ配信 WAF http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-2016-amazon-cloudfront
  23. 23. 世界中に拡がるCloudFrontのエッジロケーション http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-2016-amazon-cloudfront ・最寄りのエッジロケーションからコンテンツ配信することで高速に。 ・このエッジロケーションにWAFが連携して利用可能。
  24. 24. AWS WAF のメリット ・使った分だけの支払い ・APIで操作可能 ・オートスケール
  25. 25. AWS WAF でできること(2016年4月29日現在) クライアントからのリクエスト ・Header ・HTTP method ・Query string ・URI ・Body に対して、 ・IP address ・Size constraint ・String matching ・Cross-site scripting ・SQL injection の判定条件で検出された通信に対して、 ・Block ・Allow ・Count のいずれかのアクションを実行できる。
  26. 26. 判定条件:IP address ・クライアントのIPアドレスで判定 ・これまで、CloudFrontにはセキュリティグループのような通信制限がなかっ たため、常に公開されている状態だった。 →公開前のサイトなどについて、特定IPアドレスからのみの閲覧制限をかけるこ とができるようになった。 →オリジンに対するアクセス制限は考慮する必要あり。
  27. 27. 判定条件:IP address http://aws.typepad.com/sajp/2016/02/waf-4xx-ip.html ・特定IPアドレスからの集中アクセスがあった場合に、Countでアクセス数を計 測して、一定数を超えたらBlockするという仕組みを作ることができる。
  28. 28. 判定条件:Size constraint ・リクエストのデータサイズで判定 ・入力フォームからのファイルアップロード機能などで、ファイルサイズ制限を かけるなどの利用用途が考えられる。
  29. 29. 判定条件:String matching ・リクエストに含まれる文字列を検知して判定 ・特定URIのパスに含まれる文字列でのアクセス禁止や、クエリストリングで特 定文字列の検出などでも使える。
  30. 30. 判定条件:Cross-site scripting ・一般的なクロスサイトスクリプティング(XSS)攻撃の内容を検知して判定 https://www.ipa.go.jp/files/000017316.pdf クロスサイトスクリプティングとは?
  31. 31. 判定条件:SQL injection ・一般的なSQLインジェクション攻撃の内容を検知して判定 SQLインジェクションとは? https://www.ipa.go.jp/files/000017316.pdf
  32. 32. WAF WAFの導入Tips 1 Availability Zone B WEBサーバ Availability Zone A WEBサーバ DB セカンダリ DB プライマリ ELB CloudFront ・CloudFrontで使うIPアドレスレンジ帯のみを許可するセキュリティグループを作成 して、CloudFront外からの通信を遮断した方が良い 攻撃者
  33. 33. AWS WAFの導入Tips 2 ・ルールの追加や変更が世界中に伝達されるまで通常1分程度かかる。 →CloudFrontの設定変更やルールの初期設定の伝達の場合は、通常数分程度かかる。 https://aws.amazon.com/jp/waf/faq/ http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-2016-amazon-cloudfront
  34. 34. 簡単なデモ WAFCloudFront 検証用サーバ ・Query Stringに対する、 String Matching Cross-site scripting(XSS) SQL injection のBlockルールを適応済み環境 ・Blockされる様子をデモで確認 攻撃者
  35. 35. デモ(String Match)
  36. 36. デモ(Cross-site scripting(XSS))
  37. 37. デモ(SQL injection)
  38. 38. まとめ ・まずは、セキュリティのベストプラクティスに従ったAWS・アプリ ケーションの設計が一番重要! ・AWS WAFはあくまで、セキュリティリスクを低減するためのもの であることを忘れずに! ・AWS WAF の運用方法については、自由度が高いので、運用方針は しっかりと決める必要がある。 ・個人的に思うのが、AWS WAFはセキュリティ対策としてだけでは なく、何か別の用途にも使えそう。(Countなどを利用して。)

×