際際滷

際際滷Share a Scribd company logo

AWS WAF を聞いこなそう Security JAWS #13

?Download as PPTX, PDF?
?
YOJI WATANABE
YOJI WATANABE

Security JAWS 及13指 鞠Y創です AWS WAF の古勣、夛を尖盾して聞いこなしましょう。

1 of 27
Downloaded 28 times
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 11 AWS WAF を聞いこなそう Security JAWS 及13指
函叨 CTO 局x 剴望 ? yしいと房われがちなセキュリティをgにすべく 晩?サ`ビス_kしております ? Security-JAWS ‐及4指/2017定2埖24晩(署) LT で鞠させていただきました。 幄塀氏芙サイバ`セキュリティクラウド ? クラウド侏 WAF の好蔦擽呂ん、 AWS WAF 鬚吋稀`ビス WafCharm を戻工しています。
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 3 Security JAWS 及4指 WAF とは
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 44 尖盾する
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 5 AWS WAF とは ル`ル 10で音芦 WAF とは ? AWS が 戻工する Web Application Firewall ? L7(HTTP/HTTPS) アプリケ`ション咾侶績 ? SQL Injection や XSS, アプリケ`ション耕嗤の好弔 ? ブラックリストやホワイトリストを燕Fするル`ル ? セキュリティベンダが戻工する Managed Rules ? Web ACL にル`ルをO協する ? 1つの Web ACL にO協辛嬬なル`ル方は 10 (2019/05 F壓 ? CloudFront, ALB, API Gateway に Web ACL をvB原けして旋喘_兵1:1 ? 聞った蛍だけお屶Bい
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 6 AWS WAF ル`ル夛 WAF とは ☆ 輹个離禰`タ侏は宴卷議に峺協しています
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 7 AWS WAF ル`ル夛
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 8 AWS WAF ル`ル夛Rules ? 1指のリクエストで Action をg佩する Regular rule ? Rate Limit 指で Action をg佩する Rate-based rule ? Rule にO協辛嬬なCondition は揖じ
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 9 AWS WAF ル`ル夛Conditions SQL Injection 貨 XSS 貨 Geo IP ベ`スでの忽g了での訳周 IP アドレス g了での訳周 デ`タサイズによる訳周 猟忖双パタ`ンによる訳周 屎ア蹶Fパタ`ンによる訳周
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 10 AWS WAF ル`ル夛Filters WAF とは
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 11 AWS WAF ル`ル夛 WAF とは
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 12 AWS WAF ル`ル嘛 Condition 坪の Filter は OR 訳周 Condition 坪の Filter のどれか1つでも困燭垢海 Rule 坪の Condition は AND 訳周 Rule 坪の Condition の畠てが困燭気譴襪海 Condition は ^does match ̄ or ^does not match ̄ で訳周の峺協が辛嬬。寄丘 does match Rule が True の栽に Action(Allow, Block, Count) g佩 Rule は Priority にuされ、True があったr泣でuK阻 どの Rule にも マッチしなかった栽、Default Action (Allow, Block) をg佩 and and oror Filters in Condition Conditions in Rule
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 1313 AWS WAF Managed Rules ?詰鯉 ?すぐにgに秘できる ?マネ`ジドル`ルの厚仟はベンダ`販せ ?WAFとしてのC嬬を噴蛍に惚たせる メリット ?サポ`ト鬉メ`ル鬉里 ?マネ`ジドル`ル參翌はサポ`ト麝 ?`返rの櫃鼎がWれる ?`返rのチュ`ニングができない \喘貧のn} 2019定2埖より 弊順で7芙朕の Managed Rules セラ`に
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 1414 聞う
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 15 AWS WAF で のg\喘を覿┐靴織覃`ルO OWASP Top 10 のうち 匯違議な好弔魴績する }のあるIP アドレスをブラックリストで契囮する 匯協サイズ參貧のリクエストを契囮する ∠ アプリケ`ション畠悶のホワイトリストIP) ⊥ ル`ルにするホワイト┳翌リスト(Path) ⌒ アプリケ`ション耕嗤の巌樋來を契囮する┗訟Y創賤癸 ∂ Managed Rules を旋喘する┗訟Y創賤癸
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 16 AWS WAF ? _k宀ガイド ? AWS WAF ? チュ`トリアル https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/tutorials.html チュ`トリアル ?チュ`トリアル: 匯違議な好弔する隠oのための AWS WAF の儻堀なO協 ?チュ`トリアル: 音屎なリクエストを僕佚する IP アドレスのブロック ?チュ`トリアル: AWS サ`ビスを聞喘した DDoS 塚來を笋┐織ΕД屮汽ぅ箸g廾
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 17 匯違議な好弔する隠oのための AWS WAF の儻堀なO協 クロスサイトスクリプティング好 好蔦澆蓮▲ΕД屮▲廛螢羽`ションの巌樋來を喘するために、スクリプトをウェブリクエス トに携襪垢襪海箸あります。クロスサイトスクリプティング匯崑訳周では、AWS WAF によっ て吭のあるスクリプトが砲気譴襯ΕД屮螢エストの何蛍 (URI やクエリ猟忖双など) をR eします。 SQL インジェクション好 好蔦澆蓮▲禰`タベ`スからデ`タを渇竃するために、ウェブリクエストに吭のある SQL コ`ドを携襪垢襪海箸あります。SQL インジェクション匯崑訳周では、AWS WAF によって 吭のある SQL コ`ドが砲気譴襯ΕД屮螢エストの何蛍をReします。 屡岑の音屎な IP アドレスからの好 IP 匯崑訳周を聞喘して、ウェブリクエストをそのk伏圷の IP アドレスに児づいて、S辛、ブ ロック、またはカウントできます。IP 匯崑訳周では、蒙協の IP アドレスまたは IP アドレス 譴 1,000 まで峺協できます。
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 18 匯違議な好弔する隠oのための AWS WAF の儻堀なO協 チュ`トリアルにある CloudFormation をつかってル`ルを誘秘する https://s3.amazonaws.com/cloudformation-examples/community/common-attacks.json O協を_Jする
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 19 匯違議な好弔する隠oのための AWS WAF の儻堀なO協 Order Rules Action Condition Filter 1 ManualIPBlockRule Block IP Match 1. IP Address 2 LargeBodyMatchRule Count Size Constraint 1. Size Constraint 3 SqliRule Block SQL Injection 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL 4 XssRule Block Cross-Site Scripting 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 2020 聞いこなす
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 21 アプリケ`ション畠悶のホワイトリストをO協する Order Rules Action Condition Filter 1 ManualIPWhiteRule Allow IP Match 1. IP Address 2 ManualIPBlockRule Block IP Match 1. IP Address 3 LargeBodyMatchRule Count Size Constraint 1. Size Constraint 4 SqliRule Block SQL Injection 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL 5 XssRule Block Cross-Site Scripting 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL 蒙協のIPアドレスからのアクセスは WAF で契囮させたくない 仝訳周にマッチした IP Address は Allow する々ル`ルを恬る Rule はマッチしたr泣でuがK阻するので、恬撹したル`ルは返させたくないル`ルより枠業を互くする。 Black List との`いは、 Rule の Action が Allow/Block の`い。
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 22 ル`ルにするホワイト┳翌リストをO協する Order Rules Action Condition Filter 1 ManualIPWhiteRule Allow IP Match 1. IP Address 2 ManualIPBlockRule Block IP Match 1. IP Address 3 LargeBodyMatchRule Count Size Constraint 1. Size Constraint 4 SqliRule Block SQL Injection 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL 5 XssRule Block Cross-Site Scripting 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL String Match (does not match) 1. Contains /パス猟忖双/ 蒙協のパスでは XSS を返させない╂ CMS で HTML/JSをアップロ`ドする XssRule に仝峺協したパスを根む にマッチしない(does not match)々Condition を弖紗する Condition は AND でuされるため、仝パスにマッチしない々が撹羨する栽のみ XSS uと栽せてuされる。 つまり、峺協のパスを根む栽、仝パスにマッチしない々が撹羨しないため、AND 訳周を音撹羨とすることができる。
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 23 ル`ル10參貧}方のManaged Rulesを聞いたい Elastic Load BalancingAmazon CloudFront AWS WAF AWS WAF AWS Cloud Application AWS WAF AWS Cloud Elastic Load Balancing AWS WAF ApplicationReverse Proxy ????? CloudFront + ALB ? ル`ルは10 〜 2 ? Managed Rules は1 〜 2 Elastic Load Balancing ALB + ReverseProxy (N粁) ? ル`ルは10 〜 N ? Managed Rules は 1 〜 N ☆ IPアドレスにvする Rule は枠^の WAF へO協
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 2424 お販せする
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 25 www.example.com Access Log AWS WAF AWS Cloud Filtering rule Filtering rule Amazon Simple Storage Service (S3) Amazon API GatewayElastic Load BalancingAmazon CloudFront App Analyze Access Log Automated Update Black List IP Automated Deploy Filtering Rules Customized by Support Team
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 2626 1 Web ACL へ徭咾妊覃`ルをx協しO協 5 Managed Rules の?のル`ル茅翌をgにO協辛嬬 6 茅翌したル`ルも宥械のル`ルでカスタマイズ辛嬬 2 返メ`ル、レポ`トで\喘彜rの委燐が辛嬬 3 エンジニアによるル`ルのeカスタマイズ 4 Managed Rules の返宥岑サポ`ト
Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 2727 ご賠ありがとうございました We are hiring!!

More Related Content

AWS WAF を聞いこなそう Security JAWS #13

  • 1. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 11 AWS WAF を聞いこなそう Security JAWS 及13指
  • 2. 函叨 CTO 局x 剴望 ? yしいと房われがちなセキュリティをgにすべく 晩?サ`ビス_kしております ? Security-JAWS ‐及4指/2017定2埖24晩(署) LT で鞠させていただきました。 幄塀氏芙サイバ`セキュリティクラウド ? クラウド侏 WAF の好蔦擽呂ん、 AWS WAF 鬚吋稀`ビス WafCharm を戻工しています。
  • 3. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 3 Security JAWS 及4指 WAF とは
  • 4. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 44 尖盾する
  • 5. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 5 AWS WAF とは ル`ル 10で音芦 WAF とは ? AWS が 戻工する Web Application Firewall ? L7(HTTP/HTTPS) アプリケ`ション咾侶績 ? SQL Injection や XSS, アプリケ`ション耕嗤の好弔 ? ブラックリストやホワイトリストを燕Fするル`ル ? セキュリティベンダが戻工する Managed Rules ? Web ACL にル`ルをO協する ? 1つの Web ACL にO協辛嬬なル`ル方は 10 (2019/05 F壓 ? CloudFront, ALB, API Gateway に Web ACL をvB原けして旋喘_兵1:1 ? 聞った蛍だけお屶Bい
  • 6. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 6 AWS WAF ル`ル夛 WAF とは ☆ 輹个離禰`タ侏は宴卷議に峺協しています
  • 7. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 7 AWS WAF ル`ル夛
  • 8. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 8 AWS WAF ル`ル夛Rules ? 1指のリクエストで Action をg佩する Regular rule ? Rate Limit 指で Action をg佩する Rate-based rule ? Rule にO協辛嬬なCondition は揖じ
  • 9. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 9 AWS WAF ル`ル夛Conditions SQL Injection 貨 XSS 貨 Geo IP ベ`スでの忽g了での訳周 IP アドレス g了での訳周 デ`タサイズによる訳周 猟忖双パタ`ンによる訳周 屎ア蹶Fパタ`ンによる訳周
  • 10. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 10 AWS WAF ル`ル夛Filters WAF とは
  • 11. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 11 AWS WAF ル`ル夛 WAF とは
  • 12. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 12 AWS WAF ル`ル嘛 Condition 坪の Filter は OR 訳周 Condition 坪の Filter のどれか1つでも困燭垢海 Rule 坪の Condition は AND 訳周 Rule 坪の Condition の畠てが困燭気譴襪海 Condition は ^does match ̄ or ^does not match ̄ で訳周の峺協が辛嬬。寄丘 does match Rule が True の栽に Action(Allow, Block, Count) g佩 Rule は Priority にuされ、True があったr泣でuK阻 どの Rule にも マッチしなかった栽、Default Action (Allow, Block) をg佩 and and oror Filters in Condition Conditions in Rule
  • 13. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 1313 AWS WAF Managed Rules ?詰鯉 ?すぐにgに秘できる ?マネ`ジドル`ルの厚仟はベンダ`販せ ?WAFとしてのC嬬を噴蛍に惚たせる メリット ?サポ`ト鬉メ`ル鬉里 ?マネ`ジドル`ル參翌はサポ`ト麝 ?`返rの櫃鼎がWれる ?`返rのチュ`ニングができない \喘貧のn} 2019定2埖より 弊順で7芙朕の Managed Rules セラ`に
  • 14. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 1414 聞う
  • 15. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 15 AWS WAF で のg\喘を覿┐靴織覃`ルO OWASP Top 10 のうち 匯違議な好弔魴績する }のあるIP アドレスをブラックリストで契囮する 匯協サイズ參貧のリクエストを契囮する ∠ アプリケ`ション畠悶のホワイトリストIP) ⊥ ル`ルにするホワイト┳翌リスト(Path) ⌒ アプリケ`ション耕嗤の巌樋來を契囮する┗訟Y創賤癸 ∂ Managed Rules を旋喘する┗訟Y創賤癸
  • 16. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 16 AWS WAF ? _k宀ガイド ? AWS WAF ? チュ`トリアル https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/tutorials.html チュ`トリアル ?チュ`トリアル: 匯違議な好弔する隠oのための AWS WAF の儻堀なO協 ?チュ`トリアル: 音屎なリクエストを僕佚する IP アドレスのブロック ?チュ`トリアル: AWS サ`ビスを聞喘した DDoS 塚來を笋┐織ΕД屮汽ぅ箸g廾
  • 17. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 17 匯違議な好弔する隠oのための AWS WAF の儻堀なO協 クロスサイトスクリプティング好 好蔦澆蓮▲ΕД屮▲廛螢羽`ションの巌樋來を喘するために、スクリプトをウェブリクエス トに携襪垢襪海箸あります。クロスサイトスクリプティング匯崑訳周では、AWS WAF によっ て吭のあるスクリプトが砲気譴襯ΕД屮螢エストの何蛍 (URI やクエリ猟忖双など) をR eします。 SQL インジェクション好 好蔦澆蓮▲禰`タベ`スからデ`タを渇竃するために、ウェブリクエストに吭のある SQL コ`ドを携襪垢襪海箸あります。SQL インジェクション匯崑訳周では、AWS WAF によって 吭のある SQL コ`ドが砲気譴襯ΕД屮螢エストの何蛍をReします。 屡岑の音屎な IP アドレスからの好 IP 匯崑訳周を聞喘して、ウェブリクエストをそのk伏圷の IP アドレスに児づいて、S辛、ブ ロック、またはカウントできます。IP 匯崑訳周では、蒙協の IP アドレスまたは IP アドレス 譴 1,000 まで峺協できます。
  • 18. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 18 匯違議な好弔する隠oのための AWS WAF の儻堀なO協 チュ`トリアルにある CloudFormation をつかってル`ルを誘秘する https://s3.amazonaws.com/cloudformation-examples/community/common-attacks.json O協を_Jする
  • 19. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 19 匯違議な好弔する隠oのための AWS WAF の儻堀なO協 Order Rules Action Condition Filter 1 ManualIPBlockRule Block IP Match 1. IP Address 2 LargeBodyMatchRule Count Size Constraint 1. Size Constraint 3 SqliRule Block SQL Injection 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL 4 XssRule Block Cross-Site Scripting 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL
  • 20. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 2020 聞いこなす
  • 21. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 21 アプリケ`ション畠悶のホワイトリストをO協する Order Rules Action Condition Filter 1 ManualIPWhiteRule Allow IP Match 1. IP Address 2 ManualIPBlockRule Block IP Match 1. IP Address 3 LargeBodyMatchRule Count Size Constraint 1. Size Constraint 4 SqliRule Block SQL Injection 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL 5 XssRule Block Cross-Site Scripting 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL 蒙協のIPアドレスからのアクセスは WAF で契囮させたくない 仝訳周にマッチした IP Address は Allow する々ル`ルを恬る Rule はマッチしたr泣でuがK阻するので、恬撹したル`ルは返させたくないル`ルより枠業を互くする。 Black List との`いは、 Rule の Action が Allow/Block の`い。
  • 22. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 22 ル`ルにするホワイト┳翌リストをO協する Order Rules Action Condition Filter 1 ManualIPWhiteRule Allow IP Match 1. IP Address 2 ManualIPBlockRule Block IP Match 1. IP Address 3 LargeBodyMatchRule Count Size Constraint 1. Size Constraint 4 SqliRule Block SQL Injection 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL 5 XssRule Block Cross-Site Scripting 1. Body after decoding as HTML tags 2. Body after decoding as URL 3. QueryString after decoding as HTML tags 4. QueryString after decoding as URL 5. URI after decoding as URL String Match (does not match) 1. Contains /パス猟忖双/ 蒙協のパスでは XSS を返させない╂ CMS で HTML/JSをアップロ`ドする XssRule に仝峺協したパスを根む にマッチしない(does not match)々Condition を弖紗する Condition は AND でuされるため、仝パスにマッチしない々が撹羨する栽のみ XSS uと栽せてuされる。 つまり、峺協のパスを根む栽、仝パスにマッチしない々が撹羨しないため、AND 訳周を音撹羨とすることができる。
  • 23. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 23 ル`ル10參貧}方のManaged Rulesを聞いたい Elastic Load BalancingAmazon CloudFront AWS WAF AWS WAF AWS Cloud Application AWS WAF AWS Cloud Elastic Load Balancing AWS WAF ApplicationReverse Proxy ????? CloudFront + ALB ? ル`ルは10 〜 2 ? Managed Rules は1 〜 2 Elastic Load Balancing ALB + ReverseProxy (N粁) ? ル`ルは10 〜 N ? Managed Rules は 1 〜 N ☆ IPアドレスにvする Rule は枠^の WAF へO協
  • 24. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 2424 お販せする
  • 25. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 25 www.example.com Access Log AWS WAF AWS Cloud Filtering rule Filtering rule Amazon Simple Storage Service (S3) Amazon API GatewayElastic Load BalancingAmazon CloudFront App Analyze Access Log Automated Update Black List IP Automated Deploy Filtering Rules Customized by Support Team
  • 26. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 2626 1 Web ACL へ徭咾妊覃`ルをx協しO協 5 Managed Rules の?のル`ル茅翌をgにO協辛嬬 6 茅翌したル`ルも宥械のル`ルでカスタマイズ辛嬬 2 返メ`ル、レポ`トで\喘彜rの委燐が辛嬬 3 エンジニアによるル`ルのeカスタマイズ 4 Managed Rules の返宥岑サポ`ト
  • 27. Cyber Security Cloud , Inc. AWS WAFの徭嘸\喘 2727 ご賠ありがとうございました We are hiring!!