■初めに
AWS WAFとDeepSecurity、導入するならどちらかでいいんじゃない?という話があり、少し調べ直してみました。
何と無く理解しているものの少し漠然としている部分もあったので復習ついでに書いてみます。(出来るだけ簡単な表現で書いてみます)
■まずネットワークのレイヤーについて
WAFやDeepSecurityの話に入る前に、この辺り整理していた方が良いと思われます。
ネットワークのレイヤーは、通信プロトコルに基づいて役割の違いで階層分類したものです。
主な階層分類モデルには、「OSI参照モデル」と「TCP/IPモデル」があります。
今回「OSI参照モデル」で進めていきます。
■「OSI参照モデル」とは
コンピュータネットワークに求められる機能(通信機能)を「7階層」の構造に分割し定義したものです。
OSI参照って何だという感じですが、バラバラだった基準を統一したモデルという理解で一旦良いと思います。
■「OSI参照モデル」の7階層
以下の7階層に分かれていますので、一言ずつ添えます。
【7層 アプリケーション層】
具体的なアプリケーションの通信規則を定めます。HTTP、SMTP、FTPなどがここに属します。
【6層 プレゼンテーション層】
データ表現と暗号化を行います。圧縮、暗号化、文字コード変換が含まれます。
【5層 セッション層】
通信手段を提供し、セッションの確立・維持・終了を管理します。セッションキー、ダイアログ制御が関連します。
【4層 トランスポート層】
エンド間の通信制御を担当します。データのセグメンテーション、再送制御、フロー制御が行われます。
【3層 ネットワーク層】
データを送る相手を決め、最適な経路で送信します。IPアドレス、ルーター、ルーティングが含まれます。
【2層 データリンク層】
隣接する機器同士の通信を実現し、フレームとしてデータを送受信します。MACアドレスやイーサネットスイッチが関連します。
【1層 物理層】
データをビット列として送信するための物理的な接続を担当します。ケーブル、電気信号、ハブなどが含まれます。
■上記「7層」の説明について
ここでは簡単に記載しましたが、分かりやすい解説がなされているサイトがたくさんあるので詳しくはそちらでお願いします…
以下辺りおすすめです。
OSI参照モデルとは?TCP/IPとの違いを図解で解説
https://www.itmanage.co.jp/column/osi-reference-model/
AWS WAFとTrend Micro Deep Securityによるフルスタック防御について #reinvent
https://dev.classmethod.jp/articles/aws-waf-trend-micro-deep-security/
■AWS WAF は「7層」をカバー
【7層 アプリケーション層】
具体的なアプリケーションの通信規則を定めます。HTTP、SMTP、FTPなどがここに属します。
AWS WAFはWebアプリケーションファイアウォールです。
通信の一番最初の段階で防護壁になってくれて、DDoS攻撃であったり、クロスサイトスクリプティング攻撃等から守ります。
■DeepSecurity は「4〜6層」をカバー
【6層 プレゼンテーション層】
データ表現と暗号化を行います。圧縮、暗号化、文字コード変換が含まれます。
【5層 セッション層】
通信手段を提供し、セッションの確立・維持・終了を管理します。セッションキー、ダイアログ制御が関連します。
【4層 トランスポート層】
エンド間の通信制御を担当します。データのセグメンテーション、再送制御、フロー制御が行われます。
ホスト上で動作して、主に以下の項目のカバーを行ってくれます。
・不正プログラム対策 (アンチマルウェア):
リアルタイムでファイルの受信、開封、ダウンロード、コピー、編集などの処理を監視し、
セキュリティ上のリスクがないかどうかを検出します。
・侵入防御 (IDS/IPS):
受信および送信トラフィックを検査し、不審なアクティビティを検出してブロックします。
既知またはゼロデイの脆弱性に対する攻撃を防ぎます。
・変更監視:
不審なアクティビティを示している可能性があるファイルや重要なシステム領域への変更を検出します。
・セキュリティログ監視:
システムログをキャプチャして分析し、重要なセキュリティイベントを識別するのに役立ちます。
■「1〜3層」は…?
AWSを利用している場合、AWS側でコントロールする必要があります。
物理はAWS側が管理してますね。
第1層 (物理層):
AWSは物理的なネットワークインフラストラクチャを管理しています。
はデータセンター、サーバー、ネットワークケーブル、ルーター、スイッチなどが含まれます。
第2層 (データリンク層):
AWSは仮想ネットワークを提供し、仮想マシン(EC2インスタンスなど)を接続するための
仮想スイッチや仮想ルーターを管理しています。
VPC(Virtual Private Cloud)やサブネットも含まれます。
第3層 (ネットワーク層):
AWSはルーティング、ネットワークアドレス、セキュリティグループ、
ネットワークACL(Access Control List)などを管理しています。
これにより、トラフィックの制御やセキュリティの強化が行われます。
■AWS WAFとDeepSecurity、導入するならどちらかでいいんじゃない?
最初の話に戻りますと、ここまでの説明の通りそれぞれ役割が違う事がわかりました。
AWS WAFとDeepSecurityを併用する事により広域をカバーできます。(フルスタックの防御とかとも言うらしい)
■DeepSecurityでもDDoS対策は出来る
みたいなんですが、ホスト上に設定するものになるので、
例えばALBにWAFを紐づけている場合はサーバーまでは到達してしまいます。
攻撃が発生した場合はサーバーリソースに影響が出るものと思われますので、やはり併用するのが安心ですね。
長くなりましたが以上です!