狠狠撸

狠狠撸Share a Scribd company logo

new AWS WAF update 概要と AMRの選び方でも足りないこと

?Download as PPTX, PDF?
?
YOJI WATANABE
YOJI WATANABE

JAWS DAYS 2020 Lunch Session. 2019/11 にリリースされた、new AWS WAF の概要と課題、WafCharm を紹介します。

1 of 21
Download to read offline
new AWS WAF update 概要と AMRの選び方 でも足りないこと JAWS DAYS 2020 - Lunch Session -
取締役 CTO 渡辺 洋司 大手IT企業の研究開発のコンサルティングを手掛ける企業におい て、クラウドシステム、リアルタイム分散処理?異常検知の研究 開発に携わる。 2016年 株式会社サイバーセキュリティクラウド CTOに就任 2017年 取締役CTOに就任 難しいと思われがちなセキュリティを簡単にすべく 日々サービス開発しております。 【略歴】 株式会社サイバーセキュリティクラウド
Table Of Contents 1. Web サイト公開してますか? 2. サイバー攻撃で発生する様々なリスク 3. Web Application のセキュリティ対策 4. About WAF 5. About AWS WAF 6. new AWS WAF 7. Managed Rule Groups 8. AWS Managed Rule rule group list 9. 各社 Managed Rule rule groups 10. 足りないこと 11. WafCharm
W e b サ イ ト 公 開 し て ま す か ? ? 今や企業活動において欠くことができないWebサイト ? Web サイトは多くのソフトウェアの仕組みで実現されています ? ソフトウェアにはバグやセキュアでないプログラムが潜んでおりサイバー攻撃 の対象となってしまいます。 ? サイバー攻撃の被害として様々なリスクが想定されれます。
サ イ バ ー 攻 撃 で 発 生 す る 様 々 な リ ス ク
W e b A p p l i c a t i o n の セ キ ュ リ テ ィ 対 策 Web Application をリスクから守るための様々な対策があります 1. 企画?設計段階からのリスク評価/セキュアコーディング ● CERT Secure Coding | Top 10 Secure Coding Practices ● https://wiki.sei.cmu.edu/confluence/display/seccode/Top+10+Secure+Coding+Practices 2. 継続的なアプリケーションのテスティングと防御(SAST/DAST/IAST/RASP) ● SAST : Static Application Security Testing ● DAST : Dynamic Application Security Testing ● IAST : Interactive application security testing ● RASP : Runtime Application Self-Protection 3. Web Application Firewall (WAF) による防御 本日はこちらについての資料です
A b o u t W A F ? WAF = Web Application Firewall ? OSI 参照モデルにおける Layer 7(アプリケーション層) のうち HTTP(S) を扱う ? SQL インジェクション、クロスサイトスクリプティング、WordPress の脆弱性などに 対する攻撃から Web Application を保護する
A b o u t A W S W A F ? AWS が提供する Managed サービスの WAFで、簡単にデプロイが可能 ? CloudFront, Application Load Balancer, API Gateway に設定可能 ? 利用した分だけの課金 ? AWS と セキュリティベンダーから提供されている Managed Rules である程度の対策は可能 ? Managed Rule 以上の性能を求める場合は、ルールを自分で作成可能
n e w A W S W A F ? 2019/11 に new AWS WAF リリース ? 旧版は Classic として現在も利用可能 ? ルール処理コストによる上限設計(Web ACL Capacity Limit) ? Web ACL Capacity Unit (WCU) は default 1,500. Web ACL 単位で緩和申請も可能(最大 2,500)。これにより、Classic のルール数上限 10個を上回るルール設定が可能に
M a n a g e d R u l e G r o u p s ? Web ACL へのルール追加で簡単に利用可能 ? AWS, Cyber Security Cloud, Fortinet, Geo Guard の4社 ? 用途に応じて選択 ? 利用した分だけ支払い
A W S M a n a g e d R u l e s r u l e g r o u p s l i s t ? AWS が提供する Managed Rule Group ? 3つのカテゴリ?11個のルールグループ(2020/03/28 現在) ? 次スライド以降、ルールグループの概要説明とおすすめ度を付けました ◎:おすすめ ○:環境によって選択
A M R : B a s e l i n e r u l e g r o u p s Name WCU 機能 おすすめ Core Rule Set (CRS) 700 悪意のある User Agent, XSS, SSRF な ど、OWASP関連ルール、一般的な Web アプリケーションの保護 ◎ Admin Protection 100 phpMyAdmin, wp-admin など、管理 者ページへのアクセスの保護 ○ Known Bad Inputs 200 既知の攻撃可能なパスへのアクセスや、 無効な METHOD、Host 値のリクエス トからの保護 ◎
A M R : U s e - c a s e s p e c i f i c r u l e g r o u p s Name WCU 機能 おすすめ SQL Database 200 SQL インジェクション攻撃からの保護 ◎ LINUX Operating System 200 Linux における Local File Inclusion 攻撃 からの保護 ○ POSIX Operating System 100 UNIX Shell Command 攻撃jからの保護 ○ Windows Operating System 200 PowerShell Command 攻撃からの保護 ○ PHP Application 100 PHP include injection や 安全でない関数 実行の保護 ○ WordPress Application 100 WordPress に対する攻撃からの保護 ○
A M R : I P r e p u t a t i o n r u l e g r o u p s Name WCU 機能 おすすめ Amazon IP Reputation 25 Amazon Internal Threat Intelligence が収集した悪意のある Bot や攻撃元の IP アドレス群 ◎ Anonymous IP List 50 VPN, Proxy, Tor などの匿名となるアク セス元からの防御 ○
各 社 M a n a g e d R u l e r u l e g r o u p s
C y b e r S e c u r i t y C l o u d Name WCU 機能 Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set- 1000 OWASP Top 10 をはじめ、各種ミドルウェアな どの汎用性の高い防御ルールセット Cyber Security Cloud Managed Rules for AWS WAF -API Gateway/Serverless- 1000 上記のサーバーレスアプリケーション向けルール セット
F O R T I N E T Name WCU 機能 OWASP Top 10 - The Complete Ruleset 1000 OWASP Top10 や、既知の攻撃に対する防御の ルールセット
G e o G u a r d Name WCU 機能 GeoGuard DB - IP Fraud Detection 100 VPN, P2P ネットワークなどからのアクセスの防 御ルール
足 り な い こ と AMR, Managed Rule だけでは足りない AWS WAF の運用プロセス ? 誤検知が発生した場合のルールのチューニング ? 最新の脆弱性の調査およびルールの作成 ? アプリケーション固有のルールの作成 ? レポート?通知機能の不足
で AWS WAF の運用を簡単に AWS WAF CloudFront ALB API Gateway Subscribe Associate Deploy Marketplace Automated Manage & Support ? ルール自動運用 ? Reputation IP の自動更新 ? 検知メール送信、攻撃レポート ? 新規脆弱性への対応 ? 誤検知チューニング、カスタマイズ ? 5,000円/月からご利用可能
Thank you. - Lunch Session - JAWS DAYS 2020

More Related Content

new AWS WAF update 概要と AMRの選び方でも足りないこと

  • 1. new AWS WAF update 概要と AMRの選び方 でも足りないこと JAWS DAYS 2020 - Lunch Session -
  • 2. 取締役 CTO 渡辺 洋司 大手IT企業の研究開発のコンサルティングを手掛ける企業におい て、クラウドシステム、リアルタイム分散処理?異常検知の研究 開発に携わる。 2016年 株式会社サイバーセキュリティクラウド CTOに就任 2017年 取締役CTOに就任 難しいと思われがちなセキュリティを簡単にすべく 日々サービス開発しております。 【略歴】 株式会社サイバーセキュリティクラウド
  • 3. Table Of Contents 1. Web サイト公開してますか? 2. サイバー攻撃で発生する様々なリスク 3. Web Application のセキュリティ対策 4. About WAF 5. About AWS WAF 6. new AWS WAF 7. Managed Rule Groups 8. AWS Managed Rule rule group list 9. 各社 Managed Rule rule groups 10. 足りないこと 11. WafCharm
  • 4. W e b サ イ ト 公 開 し て ま す か ? ? 今や企業活動において欠くことができないWebサイト ? Web サイトは多くのソフトウェアの仕組みで実現されています ? ソフトウェアにはバグやセキュアでないプログラムが潜んでおりサイバー攻撃 の対象となってしまいます。 ? サイバー攻撃の被害として様々なリスクが想定されれます。
  • 5. サ イ バ ー 攻 撃 で 発 生 す る 様 々 な リ ス ク
  • 6. W e b A p p l i c a t i o n の セ キ ュ リ テ ィ 対 策 Web Application をリスクから守るための様々な対策があります 1. 企画?設計段階からのリスク評価/セキュアコーディング ● CERT Secure Coding | Top 10 Secure Coding Practices ● https://wiki.sei.cmu.edu/confluence/display/seccode/Top+10+Secure+Coding+Practices 2. 継続的なアプリケーションのテスティングと防御(SAST/DAST/IAST/RASP) ● SAST : Static Application Security Testing ● DAST : Dynamic Application Security Testing ● IAST : Interactive application security testing ● RASP : Runtime Application Self-Protection 3. Web Application Firewall (WAF) による防御 本日はこちらについての資料です
  • 7. A b o u t W A F ? WAF = Web Application Firewall ? OSI 参照モデルにおける Layer 7(アプリケーション層) のうち HTTP(S) を扱う ? SQL インジェクション、クロスサイトスクリプティング、WordPress の脆弱性などに 対する攻撃から Web Application を保護する
  • 8. A b o u t A W S W A F ? AWS が提供する Managed サービスの WAFで、簡単にデプロイが可能 ? CloudFront, Application Load Balancer, API Gateway に設定可能 ? 利用した分だけの課金 ? AWS と セキュリティベンダーから提供されている Managed Rules である程度の対策は可能 ? Managed Rule 以上の性能を求める場合は、ルールを自分で作成可能
  • 9. n e w A W S W A F ? 2019/11 に new AWS WAF リリース ? 旧版は Classic として現在も利用可能 ? ルール処理コストによる上限設計(Web ACL Capacity Limit) ? Web ACL Capacity Unit (WCU) は default 1,500. Web ACL 単位で緩和申請も可能(最大 2,500)。これにより、Classic のルール数上限 10個を上回るルール設定が可能に
  • 10. M a n a g e d R u l e G r o u p s ? Web ACL へのルール追加で簡単に利用可能 ? AWS, Cyber Security Cloud, Fortinet, Geo Guard の4社 ? 用途に応じて選択 ? 利用した分だけ支払い
  • 11. A W S M a n a g e d R u l e s r u l e g r o u p s l i s t ? AWS が提供する Managed Rule Group ? 3つのカテゴリ?11個のルールグループ(2020/03/28 現在) ? 次スライド以降、ルールグループの概要説明とおすすめ度を付けました ◎:おすすめ ○:環境によって選択
  • 12. A M R : B a s e l i n e r u l e g r o u p s Name WCU 機能 おすすめ Core Rule Set (CRS) 700 悪意のある User Agent, XSS, SSRF な ど、OWASP関連ルール、一般的な Web アプリケーションの保護 ◎ Admin Protection 100 phpMyAdmin, wp-admin など、管理 者ページへのアクセスの保護 ○ Known Bad Inputs 200 既知の攻撃可能なパスへのアクセスや、 無効な METHOD、Host 値のリクエス トからの保護 ◎
  • 13. A M R : U s e - c a s e s p e c i f i c r u l e g r o u p s Name WCU 機能 おすすめ SQL Database 200 SQL インジェクション攻撃からの保護 ◎ LINUX Operating System 200 Linux における Local File Inclusion 攻撃 からの保護 ○ POSIX Operating System 100 UNIX Shell Command 攻撃jからの保護 ○ Windows Operating System 200 PowerShell Command 攻撃からの保護 ○ PHP Application 100 PHP include injection や 安全でない関数 実行の保護 ○ WordPress Application 100 WordPress に対する攻撃からの保護 ○
  • 14. A M R : I P r e p u t a t i o n r u l e g r o u p s Name WCU 機能 おすすめ Amazon IP Reputation 25 Amazon Internal Threat Intelligence が収集した悪意のある Bot や攻撃元の IP アドレス群 ◎ Anonymous IP List 50 VPN, Proxy, Tor などの匿名となるアク セス元からの防御 ○
  • 15. 各 社 M a n a g e d R u l e r u l e g r o u p s
  • 16. C y b e r S e c u r i t y C l o u d Name WCU 機能 Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set- 1000 OWASP Top 10 をはじめ、各種ミドルウェアな どの汎用性の高い防御ルールセット Cyber Security Cloud Managed Rules for AWS WAF -API Gateway/Serverless- 1000 上記のサーバーレスアプリケーション向けルール セット
  • 17. F O R T I N E T Name WCU 機能 OWASP Top 10 - The Complete Ruleset 1000 OWASP Top10 や、既知の攻撃に対する防御の ルールセット
  • 18. G e o G u a r d Name WCU 機能 GeoGuard DB - IP Fraud Detection 100 VPN, P2P ネットワークなどからのアクセスの防 御ルール
  • 19. 足 り な い こ と AMR, Managed Rule だけでは足りない AWS WAF の運用プロセス ? 誤検知が発生した場合のルールのチューニング ? 最新の脆弱性の調査およびルールの作成 ? アプリケーション固有のルールの作成 ? レポート?通知機能の不足
  • 20. で AWS WAF の運用を簡単に AWS WAF CloudFront ALB API Gateway Subscribe Associate Deploy Marketplace Automated Manage & Support ? ルール自動運用 ? Reputation IP の自動更新 ? 検知メール送信、攻撃レポート ? 新規脆弱性への対応 ? 誤検知チューニング、カスタマイズ ? 5,000円/月からご利用可能
  • 21. Thank you. - Lunch Session - JAWS DAYS 2020