AWS WAFとは
- AWSで提供されているWAF(Web Application Firewall)のマネージドサービス
- 通常のファイアウォールが、送信元/宛先のCIDRやポート番号で通信の許可/拒否を判断するのに対し、WAFはクライアントからWEBアプリケーションへのリクエスト内容を見て、通信の許可/拒否を判断する
- SQLインジェクションやクロスサイトスクリプティングなどの攻撃に対するルールが提供されており、ALBやAPIGatewayなどの保護に利用することが可能
攻撃検知のルール
- AWS WAFのルールには「マネージドルール」と「ユーザー定義ルール」の2種類があり、組み合わせて使用することにより、効果的に攻撃から保護することができる。
マネージドルールとは
- 複数のルールを組み合わせてセットにしたもの
- AWSや各セキュリティベンダより提供されている
- 専門知識や検証などを必要とせず、容易に利用することができる
- 更新は各ベンダにより自動的に適用されるため、運用コストの削減が可能
ユーザー定義ルールとは
- ユーザ独自で作成するルール
- 以下の4種類を作成することができる
- IP制限:特定のIPアドレスからの接続制限
- レートベースルール:同一IPアドレスからの接続数制限
- 特定の脆弱性に関するルール:脆弱性に関するリクエスト制限
- 悪意のあるhttpリクエストを判別するルール:httpリクエストの内容について、不正とみなす条件を設定し制限を行う
WAFの設置例
WAFはCloudFrontやELB、API Gatewayに対応しており、各サービスの前段に設置することで、リクエストの内容をチェックし、不審なリクエストをブロックする。
AWS Shieldとは
- DDoS攻撃からシステムを保護するためのサービス
- StandardとAdvancedの2種類がある
AWS Shield Standard
- 無償で自動的に適用されている
- 小規模なシステム向け
- 保護対象はインターネットに面したすべてのAWSサービス
- AWSの受信トラフィックを検査・分析し悪意のあるトラフィックをリアルタイムで検知する
- 自動化された攻撃緩和技術が組み込まれており、ネットワーク・トランスポートレイヤの一般的なDDoS攻撃からの保護を提供する
- アプリケーション層のDDoSから保護できるWAFと併用すれば、基本的なDDoS攻撃への対策ができる(WAFの利用料金は別途課金される。)
AWS Shield Advanced
- 有償でより高度なDDoS攻撃からの保護、DDoS攻撃に起因するコスト増加への保護を提供
- 大規模でDDoS攻撃に狙われやすいシステム向け
- 保護対象はEC2、ELB、CloudFront、GlobalAccelarator、Route53
- 対象リソースのトラフィックからベースラインを作り、異常なトラフィックを検知すること(=アノマリー型検知)が可能
- AWS DDoSレスポンスチーム(DRT)からのサポートを24時間365日受けることができる
- 追加料金なしでAWS WAFの利用が可能
- DDoS攻撃により利用料が急増するなどの被害を受けた場合、増加した料金の調整リクエストを行うことが可能
- 1年間のサブスクリプション契約が必要
Shieldの全体像
AWS Firewall Managerとは
AWSにおいてファイアウォールにあたるサービスのAWS WAF、Shield Advanced、Security Groupのポリシーを一元管理するためのサービス。
Firewall Managerであらかじめセキュリティルールを定義しておくことで、自動的にルールを適用できるようになる。
AWS Organizationsと統合されているため、同じセキュリティルールを複数のアカウントに適用することなども可能。
Firewall Managerで管理できるサービスは以下の3つ。
- AWS WAF
- AWS Shield Advanced
- Amazon VPC Security Group
Firewall Managerの利用を開始するには、以下4つの前提条件を満たすことが必要となる。
- AWS Organizationsへの参加および設定
- Firewall Manager管理者アカウントの設定
- AWS Configの有効化
- Network FirewallおよびDNSファイアウォールポリシーでリソース共有を有効化
Firewall Managerの全体像
参考