はじめに
こんにちは
今回はセキュリティ分野の「WAF」について紹介いたします。
これは何の略称でしょうか
「Web Application Firewall」 ですね。
あれ、ここでもファイアウォールが出てきましたね。これも「防火壁」でしょうか
簡単に言うと、「ウェブアプリケーションを保護するための防火壁」 ですね。
WAF
WAF(Web Application Firewall)とは、ウェブアプリケーションの脆弱性を狙って仕掛けられる悪意のある攻撃から「ウェブアプリケーションを保護するため」の防火壁です。
アクセスしてくるユーザーとウェブアプリケーションの間に「WAF」を挟むことで、悪意のある攻撃の通信を遮断してウェブアプリケーションを防御します。
[AWS #8]とはまた違うパターンのFirewallですね。
ECサイトやソシャゲなどの顧客情報、クレカの情報に関するデータのやり取りが発生するWebサービスで使用されます。
これを※SQLインジェクション、※XSSなどの脅威からWebアプリケーションを保護することができます。
※SQLインジェクション:Webアプリケーションの脆弱性を意図的に利用し、断片的なSQL文をアプリケーションに不正に注入(インジェクション)し、実行させる攻撃手法。
※XSS(Cross site scripting):Webアプリケーションの脆弱性を利用して不正なスクリプトを埋め込み、ユーザーの個人情報を騙し取り、マルウェアに感染させたりする「サイバー攻撃」の一つです。
AWS WAF
AWSのWAFはAWSが提供するクラウド型のWAFサービスです。
・Amazon CloudFront
・Application Load Balancer(ALB)
・API Gateway
などの上で動作します。
ウェブセキュリティ(通信遮断など)のルールをカスタマイズ定義することが可能で、ウェブアプリケーションに対してどのトラフィックを許可するか、あるいはブロックするのかを制御することができます。
AWS WAFを理解する上で把握しておく必要があるもの
Web ACL
→ 通信リクエストを制限するルールを内包するものです。
ルール
→ 通信リクエストを制限するルールのことです。
AWS WAFとWeb ACL、ルールの関係性は図の通りになります。
AWS WAFのWeb ACLの中にルールを作成します。作成したら通信の「許可・拒否」を判別します。
おわりに
ちょっとしたまとめになります。
AWS WAFとは、Webアプリケーションに特化したAWSのファイアウォールのこと
AWS WAFは、CloudFront、ALB、API Gatewayなどへのアクセスを制御することができる
またAWS WAFには料金体系があります。(使用分のみ支払い、初期費用はかかりません)
AWS WAFの料金はこちら
最後までお読みいただきありがとうございました!
日頃より活用しているAWS CLFの資格対策用の参考書です。
「参考書」
AWS認定クラウドプラクティショナー改定第3版「AWS公式サイト」
AWS WAF「参考元」
AWS WAFとは?「Youtube」
【CLF-C02:AWSクラウドプラクティショナー】第13回 AWS WAF (セキュリティとコンプライアンス分野)