AWS WAF(v2)についてまとめます。
AWS WAFとは
AWSが提供するWAF(Web Application Firewall)です。SQLインジェクションやXSSなどのWebアプリケーションに対する攻撃から対象のリソースを保護します。リソースとして指定できるのは↓です(2020年11月現在)。
- Amazon CloudFront
- Amazon API Gateway
- Application Load Balancer
- AWS AppSync GraphQL API
WebACL
WebACLとは
- ルールを入れる箱のこと
- ACLにルールを追加していき、攻撃に対する戦略を定義する
- ステートメント:リクエストを検査するための条件を定義
- アクション:ステートメントに一致した場合の処理方法
- WCU:ACLに収容できるルールの上限
アクションの種類
ルールに対して設定できるアクションは3つあります。
| アクション | ルールに一致した場合の挙動 |
|---|---|
| Allow | リクエストを許可 |
| Block | リクエストをブロック |
| Count | リクエストを許可も拒否もせず、カウントとして検知。他のルールとも照合していき、最終的にデフォルトのアクションを実行 |
マネージドルール
あらかじめAWS側で用意した、一般的なWebアプリケーション攻撃に対応するルールのセット。マネージドルールを使うことで、自分でルールをセットする必要がなくなる
マネージドルールの選び方は↓が参考になる
レートベースのルール(同一IPからの大量リクエストのブロック)
- 5分間あたりの同一IPアドレスからのリクエスト数が設定された閾値を超過したらBlock/Countする
- 閾値の設定範囲は100~20,000,000で設定
- ルール作成時にRate-based Ruleを選択
- 全てのリクエストを対象にするか、ステートメント内の条件に一致したリクエストだけを対象にするか選択可能
独自ルールの設定パターン
- Match
- Statement(条件)に定義されたルールに一致する場合にアクションを実施
- 例)アクセス元IPがルールセットに合致する場合ブロック
- Not
- Statementに定義されたルールに一致しない場合にアクションを実施
- 例)アクセス元が日本ではない場合にブロック
- AND
- 全てのStatementに定義されたルールに一致する場合にアクションを実施
- 例
- 特定の国からのアクセスかつ、URLに特定のパスが含まれる場合にブロック
- クエリパラメーターにadminの文字列を含むリクエストかつ、リクエストbodyがXSSの攻撃内容が含まれる場合にブロック
- 特定の国からのリクエストのURI のパスに「login」を含むかつ、リクエストのレートが1,000を超える場合にブロック
- OR
- いずれかのStatementに定義されたルールに一致する場合にアクションを実施
- 例)特定にIPまたは特定の国からのアクセスであればブロック
DDoS対策
- AWS Shield StandardとAWS WAFを組み合わせることで基本的なDDoS対策が可能
- L3/L4への攻撃→AWS Shield Standardで防御。設定不要。全てのAWSサービスで有効化されている
- L7への攻撃→AWS WAFのレートコントロールにより防御可能
- 参考:Edge Servicesを利用したDDoS防御の構成(AWS WAF/Shield) | AWS Summit Tokyo 2019より
WAFの導入ステップ
ルールの決め方
ブラックリスト型
- デフォルトのアクションは許可
- ルールに合致した不正なリクエストをブロック
- 一般的なwebサイト向け
ホワイトリスト型
- デフォルトのアクションはブロック
- ルールに合致したリクエストのみを許可
- 全てのリクエストパターンが事前に把握できる場合で、限られた利用者がアクセスするケース向け
ブロック→カウントへの移行
- AWS WAFの導入時点でいきなりルールに対してブロックをかけてしまうと、本来許可すべきリクエストまでブロックしてしまう可能性があります。そのため、最初は各ルールに対するアクションをカウント(検知するのみ)にし、どのようなアクセスがマネージドルールで検知されるかをテスト環境などで検証します。ルールごとに段階的にCount→Blockに切り替えるのもありです。
AWS WAF ではルールの条件に合ったウェブリクエストの数をカウントでき、ルールの「カウント」のアクションを設定できます。ルールを有効にすると、どれだけのウェブリクエストがブロックまたは許可されるかをカウントされたウェブリクエストの数から推定できます。(よくある質問)
マネジメントコンソールからの設定方法
-
Create Web ACLをクリックし項目を埋める
-
設定したいマネージドルールを選択
-
デフォルトアクションAllowで進む
-
ルールのプライオリティを決める
-
ClowdWatchのメトリクス名を決める。デフォルトのままでもOK
設定してからサンプルリクエストに反映されるまで10分くらいかかる
挙動の確認(レートベースのルール)
試しにレートベースルールの下限100リクエスト/5分でブロックに設定
AppachBenchを使ってbastionから100以上のリクエストを送信
ab -n 110 -c 1 http://xxxx.xxx.xxx
1分程度でブロックされる
curl http://xxxx.xxx.xxx
ロギング
サンプルログ
- 受信した最初の5,000リクエストからAWS WAFがランダムに選択したものが記録される。
- AWS WAFの導入テスト向け
- 直近3週間分しか閲覧できない
フルログ(オプション)
- 全リクエストの詳細ログ
- Kinesis Data Firehose経由でS3に保存が可能
- あらかじめ'aws-waf-logs-'のプレフィックスをつけたdelivery streamを作成しておく
- WebACLを選択 > Logging and metrics > Enable logging
参考
公式
- 公式ドキュメント
- [AWS Black Belt Online Seminar] AWS WAFアップデート 資料及び QA 公開
- 既知の望まないホストの攻撃から Elastic Beanstalk 環境を保護するにはどうすればよいですか?