More Related Content
More from OWASP Nagoya (12)
20190208 OWASP TOP10 2017 AWS WAF について
- 4. 1.AWS WAFとは? ①
● 正式名称
AWS WAF and AWS Shield
● コンソールでは、
「セキュリティ、 アイデンティ
ティ、 コンプライアンス」の
「WAF&Shield」
- 6. 1.AWS WAFとは? ③
4
AWS CloudFront(CDN)かELB(LoadBalancer)に紐づけて使用
API Gatewayでも使える
5 httpとhttpsのリクエストに対するシグネチャに基づいたセキュリティを提供。物理
層のL1等、カバーしていない層のセキュリティ対策は別で必要
6
CloudWatchで監視可能。フィルタ条件に一致するリクエストを監視、アラートな
ども可能。誤検知分析はAWS WAFのログをFirehorseでストリ―ミング、S3保
存、Athenaで分析など、いろいろな手法がある
- 7. 2.OWASP Top 10 2017 AWS WAF テンプレート?
OWASP Top 10 2017
ルールセット
テンプレート
非マネージド
OWASP Top 10 20×× の場合、
自分でテンプレート交換、設定
有償マネージドルールと異なる
- 8. 2.OWASP Top 10 2017 AWS WAF テンプレート?
1
github
https://github.com/aws-samples/aws-waf-sample/tree/master/waf-owasp-top-10
2
Use AWS WAF to Mitigate OWASP’s Top 10 Web Application Vulnerabilities
https://d0.awsstatic.com/whitepapers/Security/aws-waf-owasp.pdf
3
AWSがS3で提供するダウンロードリンク
https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-to
p-10-web-application-vulnerabilities/
- 9. 2.OWASP Top 10 2017 AWS WAF テンプレート?
OWASP Top10 2017 AWS WAF テンプレート
https://github.com/aws-samples/aws-waf-s
ample/tree/master/waf-owasp-top-10
● AWS CloudFormation用テンプレート
WebACL(アクセスコントロールリスト)
Rule(ルール)
Condition(条件)
● スタートキットであり、利用者自身でカスタマイ
ズを行っていく事を作者が推奨
- 10. 2.OWASP Top 10 2017 AWS WAF テンプレート?
● owasp_10_base.ymlファイル本体
https://github.com/aws-samples/a
ws-waf-sample/blob/master/waf-o
wasp-top-10/owasp_10_base.yml
● 1200行くらいで1つのymlファイル
● AWS CloudFormation向け
- 11. 2.OWASP Top 10 2017 AWS WAF テンプレート?
OWASP Top10 2017 AWS WAF テン
プレートダウンロードリンク
https://aws.amazon.com/jp/about
-aws/whats-new/2017/07/use-aw
s-waf-to-mitigate-owasps-top-10-
web-application-vulnerabilities/
- 12. 3.使ったAWSサービス
IAM CloudWatch
VPC ACM(AWS Certificate Manager)
Route53 ALB(Application Load Balancer)
ElasticIP CloudFormation
KMS(Key Management Service) S3
EC2 AWS WAF(WAF&Shield)
AWS WAFを使う場合、ELB か ColudFront が必須
- 18. 3.構築中のつまずき②対策
OWASP Top 10 2017 Template × AWS WAF × WordPress 5.0.3の場合
generic-enforce-csrf
(OWASP Top 10 2017 A8)
Allowに変えて
アプリケーション側で
x-csrf-tokenの実装対応
- 21. 4.OWASP Top 10 テンプレートのメリット
● 無料
● 2019年2月の時点で、OWASP Top 10 2017 テンプレートなので、
次のOWASP Top10 20××の時に新バージョンが出てくる可能性
● OWASP Top 10 2017の対策は何をしていくといいのか、
具体的に記載されているので理解しやすい
- 22. 4.OWASP Top 10 テンプレートの気をつけるべき所
● 非マネージドルールのテンプレート(OWASP Top 10 2017テンプレート)を使う場合、設定
最適化を利用者自身で行う必要がある、OWASP Top 10 2017から アプリケーション側ま
で幅広いスキルが必要
● OWASP Top 10 20×× がリリースされて、新テンプレートが出てきたらテンプレート交換は
自分の手で行う必要がある