SlideShare a Scribd company logo

new AWS WAF update 概要と AMRの選び方でも足りないこと

Download as PPTX, PDF
YOJI WATANABE
YOJI WATANABE

JAWS DAYS 2020 Lunch Session. 2019/11 にリリースされた、new AWS WAF の概要と課題、WafCharm を紹介します。

1 of 21
new AWS WAF update 概要と AMRの選び方 でも足りないこと JAWS DAYS 2020 - Lunch Session -
取締役 CTO 渡辺 洋司 大手IT企業の研究開発のコンサルティングを手掛ける企業におい て、クラウドシステム、リアルタイム分散処理・異常検知の研究 開発に携わる。 2016年 株式会社サイバーセキュリティクラウド CTOに就任 2017年 取締役CTOに就任 難しいと思われがちなセキュリティを簡単にすべく 日々サービス開発しております。 【略歴】 株式会社サイバーセキュリティクラウド
Table Of Contents 1. Web サイト公開してますか? 2. サイバー攻撃で発生する様々なリスク 3. Web Application のセキュリティ対策 4. About WAF 5. About AWS WAF 6. new AWS WAF 7. Managed Rule Groups 8. AWS Managed Rule rule group list 9. 各社 Managed Rule rule groups 10. 足りないこと 11. WafCharm
W e b サ イ ト 公 開 し て ま す か ?  今や企業活動において欠くことができないWebサイト  Web サイトは多くのソフトウェアの仕組みで実現されています  ソフトウェアにはバグやセキュアでないプログラムが潜んでおりサイバー攻撃 の対象となってしまいます。  サイバー攻撃の被害として様々なリスクが想定されれます。
サ イ バ ー 攻 撃 で 発 生 す る 様 々 な リ ス ク
W e b A p p l i c a t i o n の セ キ ュ リ テ ィ 対 策 Web Application をリスクから守るための様々な対策があります 1. 企画・設計段階からのリスク評価/セキュアコーディング ● CERT Secure Coding | Top 10 Secure Coding Practices ● https://wiki.sei.cmu.edu/confluence/display/seccode/Top+10+Secure+Coding+Practices 2. 継続的なアプリケーションのテスティングと防御(SAST/DAST/IAST/RASP) ● SAST : Static Application Security Testing ● DAST : Dynamic Application Security Testing ● IAST : Interactive application security testing ● RASP : Runtime Application Self-Protection 3. Web Application Firewall (WAF) による防御 本日はこちらについての資料です
A b o u t W A F  WAF = Web Application Firewall  OSI 参照モデルにおける Layer 7(アプリケーション層) のうち HTTP(S) を扱う  SQL インジェクション、クロスサイトスクリプティング、WordPress の脆弱性などに 対する攻撃から Web Application を保護する
A b o u t A W S W A F  AWS が提供する Managed サービスの WAFで、簡単にデプロイが可能  CloudFront, Application Load Balancer, API Gateway に設定可能  利用した分だけの課金  AWS と セキュリティベンダーから提供されている Managed Rules である程度の対策は可能  Managed Rule 以上の性能を求める場合は、ルールを自分で作成可能
n e w A W S W A F  2019/11 に new AWS WAF リリース  旧版は Classic として現在も利用可能  ルール処理コストによる上限設計(Web ACL Capacity Limit)  Web ACL Capacity Unit (WCU) は default 1,500. Web ACL 単位で緩和申請も可能(最大 2,500)。これにより、Classic のルール数上限 10個を上回るルール設定が可能に
M a n a g e d R u l e G r o u p s  Web ACL へのルール追加で簡単に利用可能  AWS, Cyber Security Cloud, Fortinet, Geo Guard の4社  用途に応じて選択  利用した分だけ支払い
A W S M a n a g e d R u l e s r u l e g r o u p s l i s t  AWS が提供する Managed Rule Group  3つのカテゴリ・11個のルールグループ(2020/03/28 現在)  次スライド以降、ルールグループの概要説明とおすすめ度を付けました ◎:おすすめ ○:環境によって選択
A M R : B a s e l i n e r u l e g r o u p s Name WCU 機能 おすすめ Core Rule Set (CRS) 700 悪意のある User Agent, XSS, SSRF な ど、OWASP関連ルール、一般的な Web アプリケーションの保護 ◎ Admin Protection 100 phpMyAdmin, wp-admin など、管理 者ページへのアクセスの保護 ○ Known Bad Inputs 200 既知の攻撃可能なパスへのアクセスや、 無効な METHOD、Host 値のリクエス トからの保護 ◎
A M R : U s e - c a s e s p e c i f i c r u l e g r o u p s Name WCU 機能 おすすめ SQL Database 200 SQL インジェクション攻撃からの保護 ◎ LINUX Operating System 200 Linux における Local File Inclusion 攻撃 からの保護 ○ POSIX Operating System 100 UNIX Shell Command 攻撃jからの保護 ○ Windows Operating System 200 PowerShell Command 攻撃からの保護 ○ PHP Application 100 PHP include injection や 安全でない関数 実行の保護 ○ WordPress Application 100 WordPress に対する攻撃からの保護 ○
A M R : I P r e p u t a t i o n r u l e g r o u p s Name WCU 機能 おすすめ Amazon IP Reputation 25 Amazon Internal Threat Intelligence が収集した悪意のある Bot や攻撃元の IP アドレス群 ◎ Anonymous IP List 50 VPN, Proxy, Tor などの匿名となるアク セス元からの防御 ○
各 社 M a n a g e d R u l e r u l e g r o u p s
C y b e r S e c u r i t y C l o u d Name WCU 機能 Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set- 1000 OWASP Top 10 をはじめ、各種ミドルウェアな どの汎用性の高い防御ルールセット Cyber Security Cloud Managed Rules for AWS WAF -API Gateway/Serverless- 1000 上記のサーバーレスアプリケーション向けルール セット
F O R T I N E T Name WCU 機能 OWASP Top 10 - The Complete Ruleset 1000 OWASP Top10 や、既知の攻撃に対する防御の ルールセット
G e o G u a r d Name WCU 機能 GeoGuard DB - IP Fraud Detection 100 VPN, P2P ネットワークなどからのアクセスの防 御ルール
足 り な い こ と AMR, Managed Rule だけでは足りない AWS WAF の運用プロセス  誤検知が発生した場合のルールのチューニング  最新の脆弱性の調査およびルールの作成  アプリケーション固有のルールの作成  レポート・通知機能の不足
で AWS WAF の運用を簡単に AWS WAF CloudFront ALB API Gateway Subscribe Associate Deploy Marketplace Automated Manage & Support • ルール自動運用 • Reputation IP の自動更新 • 検知メール送信、攻撃レポート • 新規脆弱性への対応 • 誤検知チューニング、カスタマイズ • 5,000円/月からご利用可能
Thank you. - Lunch Session - JAWS DAYS 2020

Recommended

AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13
YOJI WATANABE
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
 
AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?
YOJI WATANABE
 
20190124 waf
20190124 waf20190124 waf
20190124 waf
Serverworks Co.,Ltd.
 
AWS WAF を活用しよう
AWS WAF を活用しようAWS WAF を活用しよう
AWS WAF を活用しよう
Yuto Ichikawa
 
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
 
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
Takanori Ohba
 
KDDIにおけるAWS×アジャイル開発
KDDIにおけるAWS×アジャイル開発KDDIにおけるAWS×アジャイル開発
KDDIにおけるAWS×アジャイル開発
Kazuya Suda
 

Recommended

AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13
YOJI WATANABE
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
 
AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?
YOJI WATANABE
 
20190124 waf
20190124 waf20190124 waf
20190124 waf
Serverworks Co.,Ltd.
 
AWS WAF を活用しよう
AWS WAF を活用しようAWS WAF を活用しよう
AWS WAF を活用しよう
Yuto Ichikawa
 
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
 
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
Takanori Ohba
 
KDDIにおけるAWS×アジャイル開発
KDDIにおけるAWS×アジャイル開発KDDIにおけるAWS×アジャイル開発
KDDIにおけるAWS×アジャイル開発
Kazuya Suda
 
Jawsug vmc hands_on_lab_no_taikan
Jawsug vmc hands_on_lab_no_taikanJawsug vmc hands_on_lab_no_taikan
Jawsug vmc hands_on_lab_no_taikan
ShinodaYukihiro
 
Awsでのsql高可用構成 Always On
Awsでのsql高可用構成 Always OnAwsでのsql高可用構成 Always On
Awsでのsql高可用構成 Always On
ssuser79e118
 
AWS WAFでらくらくファイアーウォール生活
AWS WAFでらくらくファイアーウォール生活AWS WAFでらくらくファイアーウォール生活
AWS WAFでらくらくファイアーウォール生活
Yoichi Toyota
 
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あうセキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
ShinodaYukihiro
 
AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan
AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan
AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan
真吾 吉田
 
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
真吾 吉田
 
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaJazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
Yuto Ichikawa
 
Organizations周りの機能
Organizations周りの機能Organizations周りの機能
Organizations周りの機能
kota tomimatsu
 
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
Nobuhiro Nakayama
 
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharmDevSecOps 時代の WafCharm
DevSecOps 時代の WafCharm
Yuto Ichikawa
 
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返りAWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
 
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
Yuto Ichikawa
 
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由Yasuhiro Horiuchi
 
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
Hayato Kiriyama
 
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Nobuhiro Nakayama
 
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
Hayato Kiriyama
 
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
Nobuhiro Nakayama
 
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
Yukiya Hayashi
 
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全てAWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
Hinemos
 
クラウドで始めるActive Directory
クラウドで始めるActive Directoryクラウドで始めるActive Directory
クラウドで始めるActive Directory
Suguru Kunii
 
re:port2017 hirayama
re:port2017 hirayamare:port2017 hirayama
re:port2017 hirayama
Tomofumi Hirayama
 
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
junkoy66
 

More Related Content

What's hot

Jawsug vmc hands_on_lab_no_taikan
Jawsug vmc hands_on_lab_no_taikanJawsug vmc hands_on_lab_no_taikan
Jawsug vmc hands_on_lab_no_taikan
ShinodaYukihiro
 
Awsでのsql高可用構成 Always On
Awsでのsql高可用構成 Always OnAwsでのsql高可用構成 Always On
Awsでのsql高可用構成 Always On
ssuser79e118
 
AWS WAFでらくらくファイアーウォール生活
AWS WAFでらくらくファイアーウォール生活AWS WAFでらくらくファイアーウォール生活
AWS WAFでらくらくファイアーウォール生活
Yoichi Toyota
 
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あうセキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
ShinodaYukihiro
 
AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan
AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan
AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan
真吾 吉田
 
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
真吾 吉田
 
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaJazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
Yuto Ichikawa
 
Organizations周りの機能
Organizations周りの機能Organizations周りの機能
Organizations周りの機能
kota tomimatsu
 
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
Nobuhiro Nakayama
 
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharmDevSecOps 時代の WafCharm
DevSecOps 時代の WafCharm
Yuto Ichikawa
 
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返りAWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
 
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
Yuto Ichikawa
 
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由Yasuhiro Horiuchi
 
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
Hayato Kiriyama
 
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Nobuhiro Nakayama
 
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
Hayato Kiriyama
 
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
Nobuhiro Nakayama
 
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
Yukiya Hayashi
 
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全てAWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
Hinemos
 
クラウドで始めるActive Directory
クラウドで始めるActive Directoryクラウドで始めるActive Directory
クラウドで始めるActive Directory
Suguru Kunii
 

What's hot (20)

Jawsug vmc hands_on_lab_no_taikan
Jawsug vmc hands_on_lab_no_taikanJawsug vmc hands_on_lab_no_taikan
Jawsug vmc hands_on_lab_no_taikan
 
Awsでのsql高可用構成 Always On
Awsでのsql高可用構成 Always OnAwsでのsql高可用構成 Always On
Awsでのsql高可用構成 Always On
 
AWS WAFでらくらくファイアーウォール生活
AWS WAFでらくらくファイアーウォール生活AWS WAFでらくらくファイアーウォール生活
AWS WAFでらくらくファイアーウォール生活
 
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あうセキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう
 
AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan
AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan
AWSでセキュリティをここまで高められる〜JAWS-UG千葉スタートアップあるある〜 #jawsug #chibadan
 
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
 
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaJazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
 
Organizations周りの機能
Organizations周りの機能Organizations周りの機能
Organizations周りの機能
 
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
 
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharmDevSecOps 時代の WafCharm
DevSecOps 時代の WafCharm
 
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返りAWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
 
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
 
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
 
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
 
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
 
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_A-4_hkiriyam
 
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
 
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
 
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全てAWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
 
クラウドで始めるActive Directory
クラウドで始めるActive Directoryクラウドで始めるActive Directory
クラウドで始めるActive Directory
 

Similar to new AWS WAF update 概要と AMRの選び方でも足りないこと

re:port2017 hirayama
re:port2017 hirayamare:port2017 hirayama
re:port2017 hirayama
Tomofumi Hirayama
 
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
junkoy66
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
Tomohiro Nakashima
 
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
 
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティリクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティ
Recruit Technologies
 
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016 AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
 
AWS Black Belt Online Seminar 2017 EC2 Windows
AWS Black Belt Online Seminar 2017 EC2 WindowsAWS Black Belt Online Seminar 2017 EC2 Windows
AWS Black Belt Online Seminar 2017 EC2 Windows
Amazon Web Services Japan
 
Windows on aws最新情報
Windows on aws最新情報Windows on aws最新情報
Windows on aws最新情報Genta Watanabe
 
【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security
Amazon Web Services Japan
 
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方Hirokazu Ouchi
 
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
Amazon Web Services Japan
 
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)
オラクルエンジニア通信
 
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAFAWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
Amazon Web Services Japan
 
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-uploadIss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
Openwave Systems
 
VMware Cloud on AWS のご紹介 -セキュリティ風味-
VMware Cloud on AWS のご紹介 -セキュリティ風味- VMware Cloud on AWS のご紹介 -セキュリティ風味-
VMware Cloud on AWS のご紹介 -セキュリティ風味-
Mitsutaka Ohisa
 
Microsoft Azure の概要と最近のアップデート(2016年6月25日)
Microsoft Azure の概要と最近のアップデート(2016年6月25日)Microsoft Azure の概要と最近のアップデート(2016年6月25日)
Microsoft Azure の概要と最近のアップデート(2016年6月25日)
kekekekenta
 
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
Amazon Web Services Japan
 
cloudpack導入資料(2011/09/01版)
cloudpack導入資料(2011/09/01版)cloudpack導入資料(2011/09/01版)
cloudpack導入資料(2011/09/01版)
iret, Inc.
 
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編) SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)
Yuichi Tamagawa
 
初心者向けWebinar AWSでDRを構築しよう
初心者向けWebinar AWSでDRを構築しよう初心者向けWebinar AWSでDRを構築しよう
初心者向けWebinar AWSでDRを構築しよう
Amazon Web Services Japan
 

Similar to new AWS WAF update 概要と AMRの選び方でも足りないこと (20)

re:port2017 hirayama
re:port2017 hirayamare:port2017 hirayama
re:port2017 hirayama
 
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
 
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
 
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティリクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティ
 
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016 AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
 
AWS Black Belt Online Seminar 2017 EC2 Windows
AWS Black Belt Online Seminar 2017 EC2 WindowsAWS Black Belt Online Seminar 2017 EC2 Windows
AWS Black Belt Online Seminar 2017 EC2 Windows
 
Windows on aws最新情報
Windows on aws最新情報Windows on aws最新情報
Windows on aws最新情報
 
【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security
 
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方
 
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
 
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)
 
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAFAWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
 
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-uploadIss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
 
VMware Cloud on AWS のご紹介 -セキュリティ風味-
VMware Cloud on AWS のご紹介 -セキュリティ風味- VMware Cloud on AWS のご紹介 -セキュリティ風味-
VMware Cloud on AWS のご紹介 -セキュリティ風味-
 
Microsoft Azure の概要と最近のアップデート(2016年6月25日)
Microsoft Azure の概要と最近のアップデート(2016年6月25日)Microsoft Azure の概要と最近のアップデート(2016年6月25日)
Microsoft Azure の概要と最近のアップデート(2016年6月25日)
 
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
 
cloudpack導入資料(2011/09/01版)
cloudpack導入資料(2011/09/01版)cloudpack導入資料(2011/09/01版)
cloudpack導入資料(2011/09/01版)
 
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編) SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)
SoftLayer Bluemix Summit 2015 はじめてのSoftLayer(サーバー、ストレージ編)
 
初心者向けWebinar AWSでDRを構築しよう
初心者向けWebinar AWSでDRを構築しよう初心者向けWebinar AWSでDRを構築しよう
初心者向けWebinar AWSでDRを構築しよう
 

new AWS WAF update 概要と AMRの選び方でも足りないこと

  • 1. new AWS WAF update 概要と AMRの選び方 でも足りないこと JAWS DAYS 2020 - Lunch Session -
  • 2. 取締役 CTO 渡辺 洋司 大手IT企業の研究開発のコンサルティングを手掛ける企業におい て、クラウドシステム、リアルタイム分散処理・異常検知の研究 開発に携わる。 2016年 株式会社サイバーセキュリティクラウド CTOに就任 2017年 取締役CTOに就任 難しいと思われがちなセキュリティを簡単にすべく 日々サービス開発しております。 【略歴】 株式会社サイバーセキュリティクラウド
  • 3. Table Of Contents 1. Web サイト公開してますか? 2. サイバー攻撃で発生する様々なリスク 3. Web Application のセキュリティ対策 4. About WAF 5. About AWS WAF 6. new AWS WAF 7. Managed Rule Groups 8. AWS Managed Rule rule group list 9. 各社 Managed Rule rule groups 10. 足りないこと 11. WafCharm
  • 4. W e b サ イ ト 公 開 し て ま す か ?  今や企業活動において欠くことができないWebサイト  Web サイトは多くのソフトウェアの仕組みで実現されています  ソフトウェアにはバグやセキュアでないプログラムが潜んでおりサイバー攻撃 の対象となってしまいます。  サイバー攻撃の被害として様々なリスクが想定されれます。
  • 5. サ イ バ ー 攻 撃 で 発 生 す る 様 々 な リ ス ク
  • 6. W e b A p p l i c a t i o n の セ キ ュ リ テ ィ 対 策 Web Application をリスクから守るための様々な対策があります 1. 企画・設計段階からのリスク評価/セキュアコーディング ● CERT Secure Coding | Top 10 Secure Coding Practices ● https://wiki.sei.cmu.edu/confluence/display/seccode/Top+10+Secure+Coding+Practices 2. 継続的なアプリケーションのテスティングと防御(SAST/DAST/IAST/RASP) ● SAST : Static Application Security Testing ● DAST : Dynamic Application Security Testing ● IAST : Interactive application security testing ● RASP : Runtime Application Self-Protection 3. Web Application Firewall (WAF) による防御 本日はこちらについての資料です
  • 7. A b o u t W A F  WAF = Web Application Firewall  OSI 参照モデルにおける Layer 7(アプリケーション層) のうち HTTP(S) を扱う  SQL インジェクション、クロスサイトスクリプティング、WordPress の脆弱性などに 対する攻撃から Web Application を保護する
  • 8. A b o u t A W S W A F  AWS が提供する Managed サービスの WAFで、簡単にデプロイが可能  CloudFront, Application Load Balancer, API Gateway に設定可能  利用した分だけの課金  AWS と セキュリティベンダーから提供されている Managed Rules である程度の対策は可能  Managed Rule 以上の性能を求める場合は、ルールを自分で作成可能
  • 9. n e w A W S W A F  2019/11 に new AWS WAF リリース  旧版は Classic として現在も利用可能  ルール処理コストによる上限設計(Web ACL Capacity Limit)  Web ACL Capacity Unit (WCU) は default 1,500. Web ACL 単位で緩和申請も可能(最大 2,500)。これにより、Classic のルール数上限 10個を上回るルール設定が可能に
  • 10. M a n a g e d R u l e G r o u p s  Web ACL へのルール追加で簡単に利用可能  AWS, Cyber Security Cloud, Fortinet, Geo Guard の4社  用途に応じて選択  利用した分だけ支払い
  • 11. A W S M a n a g e d R u l e s r u l e g r o u p s l i s t  AWS が提供する Managed Rule Group  3つのカテゴリ・11個のルールグループ(2020/03/28 現在)  次スライド以降、ルールグループの概要説明とおすすめ度を付けました ◎:おすすめ ○:環境によって選択
  • 12. A M R : B a s e l i n e r u l e g r o u p s Name WCU 機能 おすすめ Core Rule Set (CRS) 700 悪意のある User Agent, XSS, SSRF な ど、OWASP関連ルール、一般的な Web アプリケーションの保護 ◎ Admin Protection 100 phpMyAdmin, wp-admin など、管理 者ページへのアクセスの保護 ○ Known Bad Inputs 200 既知の攻撃可能なパスへのアクセスや、 無効な METHOD、Host 値のリクエス トからの保護 ◎
  • 13. A M R : U s e - c a s e s p e c i f i c r u l e g r o u p s Name WCU 機能 おすすめ SQL Database 200 SQL インジェクション攻撃からの保護 ◎ LINUX Operating System 200 Linux における Local File Inclusion 攻撃 からの保護 ○ POSIX Operating System 100 UNIX Shell Command 攻撃jからの保護 ○ Windows Operating System 200 PowerShell Command 攻撃からの保護 ○ PHP Application 100 PHP include injection や 安全でない関数 実行の保護 ○ WordPress Application 100 WordPress に対する攻撃からの保護 ○
  • 14. A M R : I P r e p u t a t i o n r u l e g r o u p s Name WCU 機能 おすすめ Amazon IP Reputation 25 Amazon Internal Threat Intelligence が収集した悪意のある Bot や攻撃元の IP アドレス群 ◎ Anonymous IP List 50 VPN, Proxy, Tor などの匿名となるアク セス元からの防御 ○
  • 15. 各 社 M a n a g e d R u l e r u l e g r o u p s
  • 16. C y b e r S e c u r i t y C l o u d Name WCU 機能 Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set- 1000 OWASP Top 10 をはじめ、各種ミドルウェアな どの汎用性の高い防御ルールセット Cyber Security Cloud Managed Rules for AWS WAF -API Gateway/Serverless- 1000 上記のサーバーレスアプリケーション向けルール セット
  • 17. F O R T I N E T Name WCU 機能 OWASP Top 10 - The Complete Ruleset 1000 OWASP Top10 や、既知の攻撃に対する防御の ルールセット
  • 18. G e o G u a r d Name WCU 機能 GeoGuard DB - IP Fraud Detection 100 VPN, P2P ネットワークなどからのアクセスの防 御ルール
  • 19. 足 り な い こ と AMR, Managed Rule だけでは足りない AWS WAF の運用プロセス  誤検知が発生した場合のルールのチューニング  最新の脆弱性の調査およびルールの作成  アプリケーション固有のルールの作成  レポート・通知機能の不足
  • 20. で AWS WAF の運用を簡単に AWS WAF CloudFront ALB API Gateway Subscribe Associate Deploy Marketplace Automated Manage & Support • ルール自動運用 • Reputation IP の自動更新 • 検知メール送信、攻撃レポート • 新規脆弱性への対応 • 誤検知チューニング、カスタマイズ • 5,000円/月からご利用可能
  • 21. Thank you. - Lunch Session - JAWS DAYS 2020