よくAWSの試験で出題される
AWS WAFとAWS Shieldに関する情報を整理しました。
AWS WAFとAWS Shieldは、Amazon Web Services (AWS)のセキュリティサービスですが、目的や提供される機能に違いがあります。皆さんは、この違いを明確に説明出来るでしょうか?
最近、お客様に説明する機会がありましたので、整理してみました。
WAF(Web Application Firewall)は、Webアプリケーションの脆弱性や攻撃から保護するためのセキュリティサービスです。 WAFは、HTTP / HTTPSリクエストを監視し、指定されたルールに基づいてトラフィックを許可またはブロックします。WAFは、XSS(クロスサイトスクリプティング)、SQLインジェクション、CSRF(クロスサイトリクエストフォージェリ)などのWebアプリケーション攻撃を検出および防止するための機能を提供します。
一方、Shieldは、AWSリソースを DDoS(分散型サービス拒否)攻撃から保護するためのサービスです。 Shieldは、レイヤー3およびレイヤー4の攻撃(IP、TCP、UDPレベルでの攻撃)を自動的に検出および防止し、AWSのグローバルネットワークに統合されており、ネットワークレベルの保護を提供します。これには、TCP SYN Flood、UDP Flood、ICMP Floodなどが含まれます。
つまり、WAFはWebアプリケーションの脆弱性から保護し、ShieldはDDoS攻撃から保護します。
AWS WAFの主な機能
Webアプリケーションの脆弱性から保護
1. Webトラフィックのフィルタリング
AWS WAFは、Webトラフィックを監視し、指定されたルールに基づいてトラフィックを許可またはブロックすることで、Webアプリケーション攻撃を検出および防止する機能を提供します。一般的なWebアプリケーション攻撃を検出し、ブロックするため、XSS(クロスサイトスクリプティング)、SQLインジェクション、CSRF(クロスサイトリクエストフォージェリ)、パストラバーサルなどの攻撃に対処できます。
2. AWSの他のサービスとの統合
AWS WAFは、AWSの他のサービスと簡単に統合できます。AWS CloudFront、Application Load Balancer、またはAPI Gatewayを使用するWebアプリケーションに適用できます。
3. 監視と通知
AWS WAFは、攻撃が検出された場合にログに記録し、管理者に通知することができます。
AWS Shieldの主な機能
AWSリソースをDDoS(分散型サービス拒否)攻撃から保護
AWS Shieldは、DDoS攻撃からWebアプリケーションを保護するためのサービスです。
1. AWS Shield Standard
ネットワーク層でのDDoS攻撃からWebアプリケーションを保護するためのサービスです。
2. AWS Shield Advanced
AWS Shield Advancedは、追加料金が必要ですが、より高度なカスタマイズが可能であり、24時間体制でAWSのセキュリティ専門家によるサポートが提供されます。AWS Shield Advancedには、ネットワーク層およびアプリケーション層でのDDoS攻撃からWebアプリケーションを保護するための機能があります。
3. AWS Shield Advancedのアクセス制御
AWS Shield Advancedでは、アクセス制御をカスタマイズすることができます。特定のIPアドレスやリージョンからのアクセスを許可することができ、特定のアプリケーションレイヤの攻撃に対する保護も提供されます。
4. AWS WAF統合
AWS Shield Advancedは、AWS WAFと統合することができます。AWS WAFは、Webアプリケーションの攻撃から保護するためのサービスであり、AWS Shield Advancedを使用してWebアプリケーションのDDoS攻撃から保護することができます。
AWS Shield Advancedの設定
AWS Shield Advancedコンソールで、対象のリソースを選択します。
「Protection settings」を選択し、DDoS攻撃を検知するための防御機能を有効にします。
「Web ACL associations」を選択し、AWS WAFで作成したルールをWeb ACLに関連付けます。
「Advanced DDoS」を選択し、DDoS攻撃からWebアプリケーションを保護するための設定を行います。設定には、トラフィックのリダイレクト、プロトコルの調整、トラフィックの限定などがあります。