AWS WAF でセキュリティ対策_JAWS-UG沖縄勉強会_Cloud on the BEACH 2016
Download as PPTX, PDF8 likes5,717 views
JAWS-UG 沖縄勉強会 Cloud on the BEACH 2016 勉強会の部(経験者トラック)の発表資料です。
AWS WAF でセキュリティ対策_JAWS-UG沖縄勉強会_Cloud on the BEACH 2016
- 1. 2016/04/29(金) JAWS-UG沖縄勉強会 Cloud on the beach 2016 勉強会の部(経験者向けトラック) 株式会社レキサス 与儀実彦 AWS WAF で セキュリティ対策
- 3. 振り返ってみると、Cloud on the beach 2013 から毎年登壇中
- 7. アジェンダ AWS WAF とは? AWSのセキュリティ CloudFront とは? AWS WAFでできること 簡単なデモ まとめ
- 8. AWS WAF とは? ・AWSの提供するWAF(Web Application Firewall)のサービス ・現在のところCloudFrontに対してのみ利用可能 ・Web ACLとして作成したルールをCloudFrontに適応するイメージ CloudFront WAF
- 9. WAF は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護 するセキュリティ対策の一つです。WAF はウェブアプリケーションの実装面での根本的な対策で はなく、攻撃による影響を低減する運用面での対策です。 WAF は、WAF を導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサイ トと利用者間の通信の中身を機械的に検査します。 WAF を使用することで以下の効果を期待できます。 脆弱性を悪用した攻撃からウェブアプリケーションを防御する 脆弱性を悪用した攻撃を検出する 複数のウェブアプリケーションへの攻撃をまとめて防御する IPA 独立行政法人 情報処理推進機構 提供 『Web Application Firewall (WAF)読本 改訂第2版』 より一部抜粋 https://www.ipa.go.jp/files/000017312.pdf WAF(Web Application Firewall)とは?
- 10. AWS WAFの導入のイメージ Availability Zone B WEBサーバ Availability Zone A WEBサーバ DB セカンダリ DB プライマリ ELB WAF Availability Zone B WEBサーバ Availability Zone A WEBサーバ DB セカンダリ DB プライマリ ELB CloudFront
- 11. AWS WAFの導入のイメージ Availability Zone B WEBサーバ Availability Zone A WEBサーバ DB セカンダリ DB プライマリ ELB CloudFront WAF Availability Zone B WEBサーバ Availability Zone A WEBサーバ DB セカンダリ DB プライマリ ELB CloudFront
- 12. AWSのセキュリティ ・クラウドセキュリティは AWS の最優先事項です。 AWS のお客様は、セキュリティを最も重視する組織の要 件を満たすよう構築されたデータセンターとネットワーク アーキテクチャを利用できます。 https://aws.amazon.com/jp/security/
- 13. AWSのセキュリティ http://www.slideshare.net/AmazonWebServicesJapan/awswebinar-aws-59853341
- 16. AWSの責任共有モデル(レポート、認定、第三者認証) OSより上のレイヤーのセキュリティはユーザ自身が責任をもって担保 OSより下のレイヤーのセキュリティは、AWSが責任をもって担保 ▪ AWSは以下のような第三者認証を取得済み SSAE 16/ISAE 3402基準、SOC1レポート(旧SAS70) SOC2レポート SOC3レポート【NDA無で入手可能】 ISO 27001 Certification PCI DSS Level 1 Service Provider FISMA moderate Sarbanes-Oxley (SOX) データセンターおよび組織のセキュリティ担保責任を果たすため、 多数の第三者認証を取得して更新し続けている。
- 21. WAF は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護 するセキュリティ対策の一つです。WAF はウェブアプリケーションの実装面での根本的な対策で はなく、攻撃による影響を低減する運用面での対策です。 WAF は、WAF を導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサイ トと利用者間の通信の中身を機械的に検査します。 WAF を使用することで以下の効果を期待できます。 脆弱性を悪用した攻撃からウェブアプリケーションを防御する 脆弱性を悪用した攻撃を検出する 複数のウェブアプリケーションへの攻撃をまとめて防御する IPA 独立行政法人 情報処理推進機構 提供 『Web Application Firewall (WAF)読本 改訂第2版』 より一部抜粋 https://www.ipa.go.jp/files/000017312.pdf WAF(Web Application Firewall)とは?
- 22. Amazon CloudFrontとは? http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-2016-amazon-cloudfront ・CDN(Contents Delivery Network)のサービス →コンテンツのキャッシュ配信 1ディストリビューション当たり、デフォルトで10Gbps、15,000RPS まで耐えうる。(超える場合は上限申請) →DDoS攻撃対策としても、かなり有効。 →ある意味DDoS攻撃なYahoo砲などのアクセス集中対策にかなり有効。
- 23. Amazon CloudFrontとは? ・CDN(Contents Delivery Network)のサービス →コンテンツのキャッシュ配信 WAF http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-2016-amazon-cloudfront
- 26. AWS WAF でできること(2016年4月29日現在) クライアントからのリクエスト ・Header ・HTTP method ・Query string ・URI ・Body に対して、 ・IP address ・Size constraint ・String matching ・Cross-site scripting ・SQL injection の判定条件で検出された通信に対して、 ・Block ・Allow ・Count のいずれかのアクションを実行できる。
- 30. 判定条件:String matching ・リクエストに含まれる文字列を検知して判定 ・特定URIのパスに含まれる文字列でのアクセス禁止や、クエリストリングで特 定文字列の検出などでも使える。
- 33. WAF WAFの導入Tips 1 Availability Zone B WEBサーバ Availability Zone A WEBサーバ DB セカンダリ DB プライマリ ELB CloudFront ・CloudFrontで使うIPアドレスレンジ帯のみを許可するセキュリティグループを作成 して、CloudFront外からの通信を遮断した方が良い 攻撃者
- 35. 簡単なデモ WAFCloudFront 検証用サーバ ・Query Stringに対する、 String Matching Cross-site scripting(XSS) SQL injection のBlockルールを適応済み環境 ・Blockされる様子をデモで確認 攻撃者
- 36. デモ(String Match)
- 39. まとめ ・まずは、セキュリティのベストプラクティスに従ったAWS・アプリ ケーションの設計が一番重要! ・AWS WAFはあくまで、セキュリティリスクを低減するためのもの であることを忘れずに! ・AWS WAF の運用方法については、自由度が高いので、運用方針は しっかりと決める必要がある。 ・個人的に思うのが、AWS WAFはセキュリティ対策としてだけでは なく、何か別の用途にも使えそう。(Countなどを利用して。)