AWS WAF

AWS WAFとは

ALBもしくはCloudFrontを使用する必要があります
AWS WAFはCDN(CloudFront)とロードバランサ(ALB)とAPI Gatewayに設置できます

OSI参照モデルのレイヤー7のDoS攻撃を防いでくれる機能
HTTPのGET/POSTメソッドを使用した攻撃に対して有効です

AWS WAF v2

セキュリティーベンダーだけでなく、AWSからも純正のマネージドルールがリリースされました。
v1では、ルールが10個までしか登録できませんでした。v2では10個という制約の代わりに、ルールの数ではなく重みを評価するようになりました。(キャパシティユニット)

AWS WAFの機能

WAFの条件として設定可能な項目

クロスサイトスクリプティング
地域制限	特定の地域による制限が可能です。例えば、日本以外からのアクセスをブロック
IPアドレス一致
サイズ制約
SQL injection	SQLインジェクションをブロックできます
文字列と正規表現の一致
レートベースのアクセス制限	同一IPアドレスからの大量リクエストをブロック可能

条件の使用 - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

WAFの設定

方法1. AWSマネージドルール・ルールグループを使う

導入が一番簡単で価格も安い
AWSの用意した下記11個のルールグループの中から、自分のWebアプリケーションを守るために役に立ちそうなルールを選択します。

方法2. AWS WAF セキュリティーオートメーションのテンプレートを利用

CloudFormationテンプレート

方法3. 3rdパーティー提供のAWS WAFマネージドルールを利用

F5やFortinetなどのセキュリティベンダーから提供され、マーケットプレイスから購入し機能をオンにするだけ

方法4. WafCharmを利用

ルールが自動的に設定されるため、自分で考える必要がない
WAFサービスの提供では実績が高い会社のサービス
日本語でサポート
シグニチャ作成もサポート範囲に含まれる

基本的にはマネージドルールをメインで使い、マネージドルールに無い機能をセキュリティオートメーションからピックアップして使えばいいような気がしています。具体的には、以下の機能はマネージドルールにはありません。

HTTP Flood ProtectionのRequest Threshold
Scanner & Probe Protection

AWS WAF セキュリティーオートメーションがWAFv2で利用できるようになりました - サーバーワークスエンジニアブログ

参考

AWS Black Belt Tech シリーズ 2015 - AWS WAF from Amazon Web Services Japan

目次

AWS WAF

目次

AWS WAFとは

AWS WAF v2

AWS WAFの機能

WAFの条件として設定可能な項目

WAFの設定

方法1. AWSマネージドルール・ルールグループを使う

方法2. AWS WAF セキュリティーオートメーションのテンプレートを利用

方法3. 3rdパーティー提供のAWS WAFマネージドルールを利用

方法4. WafCharmを利用

参考