[AWS Black Belt Online Seminar] AWS WAF アップデート PDF Free Download

1y ago

11 Views

1 Downloads

4.35 MB

85 Pages

Report/dmca

Download PDF

Transcription

内容についての注意点 ��さい。 �ていただきます。 ��求させていただきます。 AWS does not offer binding price quotes. AWS pricing is publicly available and issubject to change in accordance with the AWS Customer Agreement available athttp://aws.amazon.com/agreement/. Any pricing information included in thisdocument is provided only as an estimate of usage charges for AWS services based oncertain information that you have provided. Monthly charges will be based on youractual use of AWS services, and may vary from the estimates provided. 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

本日のアジェンダ1. Web Application Firewall(WAF)とは2. AWS WAFの機能3. アップデートによる主な変更点4. AWS WAFの詳細5. AWS Managed Rules for AWS WAF6. Web ACL作成の流れ7. ログとモニタリング8. AWS WAF利用のための考慮事項9. 料金体系10. まとめ 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

様々な攻撃手法DDoSTargeted attacksSpearReflection andApplicationHTTP floodsSQL injection exploits Authorization phishingamplification Layer 3 & 4floodsBots and probesexploits CertificateXSSCSRFSlowlorishijackingRFI/LFISSL abuseWeb Application FirewallAWS WAF 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

様々な攻撃手法DDoSTargeted attacksSpearReflection andApplicationHTTP floodsSQL injection exploits Authorization phishingamplification Layer 3 & 4floodsBots and probesexploits CertificateXSSCSRFSlowlorishijackingRFI/LFISSL abuse Amazon CloudFrontElastic Load BalancingAWS Shield StandardAWS Shield Advanced 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Web Application FirewallAWS WAF Amazon InspectorAmazon MacieAmazon CertificateManager (ACM)AWS Marketplace:IDS/IPS, anti-malware

AWS ��たWebトラフィックのフィルタ SQLインジェクションクロスサイトスクリプト �ドルール 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Rate-based rulesIP & Geo-IP �ングとチューニング Amazon CloudWatch メトリクス/アラームサンプルログ Full logs �ド）

AWS WAFの全体像AWS WAFAmazonCloudFrontWeb ACL (Web Access Control List)· · · Rule Statements · · ·ApplicationLoad BalancerRequestSampledRequestLoggingIP SetRule GroupMetricsRegex SetAmazon APIGateway 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.AmazonKinesisFirehoseAmazonCloudWatch

AWS WAF 機能拡張の歴史 2015年10月 AWS WAF リリース2015年12月 CloudFormationに対応20152016 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.2017年5月 AWS WAF on ALBがAWS CloudTrailに対応2017年5月 IP setの上限を1000から10000へ増加2017年5月 AWS WAF on ALBがAWS CloudFormationに対応2017年6月 HIPAA �なる2017年6月 � 正規表現のルールに対応2017年10月地域別の制御に対応2017年11月 172016年1月 HTTP Bodyの検査に対応2016年1月 �対応2016年3月 Cross-Site Scripting (XSS)ルール条件に対応2016年4月 AWS CloudTrailに対応2016年7月 PCI DSS 3.2 Merchant Level 1にAWS WAFが含まれる2016年10月 IPv6に対応2016年12月 Application Load Balancer (ALB)に対応※AWS WAF: What’s s/

AWS WAF 機能拡張の歴史(続き) 2018年2月 AWS Config が AWS WAF ルールグループをサポート2018年6月 �を強化2018年6月 Non-octet CIDR boundariesをサポート2018年8月 AWS WAF Full logsが新たに利用可能に2018年11月 AWS API Gatewayに対応20182019 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 2020年3月 AWS マネージドルールにAnonymous IPリスト追加20202019年8月 �設定可能に2019年11月 AWS Managed Rules for AWS WAFリリース2019年11月 AWS WAF APIがアップデート(APIv2)2019年12月 AWS WAF Full Logsを拡張※AWS WAF: What’s s/

AWS WAF 直近の主なアップデートAWS WAFの新しいAPIの仕組み namespace: “wafv2”が付与される “waf” や �操作が可能ルールの記述方法も拡張 �の記述方法が統一化 JSON �ルール記述 ��を記載し、UpdateWebACL を呼ぶだけで反映WAF Capacity Unit (WCU)を新たに利用 Web ACLあたりの上限10 ルールの制限は撤廃その他諸々の制限の緩和 (例:フィルタ数の上限など) 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWS WAF �面の変更 ��化 OR ��ルトインのマネージドルール: AWS Managed Rules for AWS WAF AWS Threat Research Team が作成及びメンテナンスを実施 OWASP Top 10 や IP reputation listなどが含まれるAWS WAF Full logsの拡張 ��の追加 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWS WAFとAWS WAF Classicの主な違い機能WAF Classic新 AWS WAFAWSマネージドルールグループNoYesAWS �YesYesWeb ACL毎のルール上限10WAF Capacity Unit (WCU)の上限1500 WCUWeb ACL毎のルールグループ数の上限2WAF Capacity Unit (WCU)の上限1500 WCUルールの論理条件AND and NOTAND, OR, and NOTAPI の利用CloudFrontとALB,API pace “waf”)(namespace 2”に統一IP setのCIDRサポート/8, /16-/32/1-/32 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWS WAFのコンポーネント Web ACL (Web Access Control List )RulesStatementRate-based ruleActionsManaged RuleRule GroupAWSリソース（CloudFront, ALB, API Gateway)レポートAWS WAF Full logs 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Web ACLWeb ACL ��ストの処理方法が指定されます。 Web Capacity Unit(WCU)がWeb �す。(WCUについては後述）Web �。Web ン）します。 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.RuleStatementActionStatementOrder (適用順) Web ACLRuleRate-based ruleActionStatement・・・ ACL ActionDefault Web

entActionActionRule 1様々な条件を指定: IP Match, Geo-IP String/RegexMatch SQLi/XSSDetection Size ntActionActionRule 2Actions: Allow Block Count 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Rule 3Rule 4

��約にマッチしているかどうかSQL �かXSS ��ッチしているかどうかHeader / HTTP Method / Query String / URI / Body以下のMatchに対応Contains / Exact / Begins with / Ends with / Contains ポーネントと比較 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

ッダー。このオプションでは、[Header type (ヘッダータイプ)] nt、Referer など）も選択HTTPメソッドHTTP メソッドを検査するクエリ文字列URL 内で "? "文字の後に続く部分 rystring (クエリ文字列)] ではなく [All query parameters (すべてのクエリパラメータ)] �ータの値を検査するURIURL 内でリソースを識別する部分 (例: images/daily-ad.jpg れる 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

クエストを検査Convert to lowercase大文字の A-Z を小文字の a-z に変換HTML decodeHTML ��化複数のスペースを 1 �白文字（10 進数の32）に置き換え f、フォームフィード、10 進数の 12 t、タブ、10 進数の 9 n、改行、10 進数の 10 r、キャリッジリターン、10 進数の 13 v、垂直タブ、10 進数の 11改行なしスペース、10 進数 160Simplify command RL decodeURL �ド 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Ruleの中身 (Rate-based 限を適用する条件を指定 (All, NOT, OR, AND)Rate LimitRate LimitNOTActionRate onActionStatementRule 1ActionRule 2Rate Limit5分間のリクエスト数100 〜 20,000,000で設定Rate LimitActions: Block Count 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Conditions: IP Match, Geo-IP String/RegexMatch SQLi/XSSDetection Size ConstraintsRule 3Rule 4

�おいて、リクエストのレートが1,000 n」の文字列が含まれるStatement2Text transformation: URL decodeOnly consider requests that match the criteria in a rule statementリクエストレートリミット: 1000Rate-based ruleBlockRule 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Web �ルールはより多くのWCUを利用Match StatementIP Set MatchRegex Pattern SetSize ConstraintSQLi AttackString MatchXSS Scripting �一連の IP ストコンポーネントと比25 per pattern �内の悪意のある SQL20コードを検査Depends on the ��トと文字列を比較of ��費される） 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Web ACLにおけるWCUの計算例文字列マッチルール Bodyに対する 10 個の文字列フィルタ 10 x 10 WCU 100 WCU Bodyに対する空白の正規化 10 WCUSQLi 検出ルール URL, cookie header, と bodyに適用 3 x 20 WCU 60 WCU正規表現ルール 10 個の正規表現を含むパターンセット 1 x 25 WCU 25 WCU3 つのIPセットルール 3 つの IPセット (10,000 IPまで指定可能) 3 x 1 3 WCUAWS Managed Rules Core ruleset 700 WCU1500合計 WCU :898 WCUWCU 残:1,500 - 898 602 WCU 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.898

ルールグループ ��作ることが可能 Web 可能 � ��ように事前に予約するための機能含まれるルール自体はWCU22 だがルールグループの設定は 200 �より大きい値が設定可能） 1 回設定したら変えられないRule 1Rule 2 Rule ZRuleGroup 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWS Managed Rules for AWS WAF (AMR)とはAWS �セット AWS Threat Research Team (TRT)が作成及びメンテナンスを実施 OWASP Top 10 � WAF Capacity Unit tCore RulesetAdmin ProtectionSQL DBLinuxKnown Bad InputsPHPWordPressPosixWindowsDescriptionBased on OWASP Top 10Blocks common administrative accessPredefined SQL injection detectionLinux based path traversal attemptsWell known bad request indicatorsPHP specific exploitsWordPress specific exploitsPosix based path traversal attemptsWindows based path traversal attemptsIP ListAWS IP Reputation ListBlocks IP that is known to have bot activitiesIP ListAnonymous IP listVPN, proxies, Tor nodes, and hosting providers. 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWS Managed Rules for AWS WAF nCapacity このグループには、Amazon �。こAmazon に関連付けられている IP �これらの IP25reputation list ルが含まれる。こAnonymous IP ��る場合に有効。Core rule setKnown ト (CRS) ��が含まれる。これらは、OWASP の出版物や多くの共通脆弱性識別子 (CVE) ��すべての AWS WAF x �ープには、Linux �ョン (LFI)攻撃など、Linux 一部が Linux ��、このルールグループは、POSIX ��る。AWS マネージドルールルールグループのリストhttps://docs.aws.amazon.com/ja ps-list.html 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.700200200

AWS Managed Rules for AWS WAF tionPOSIXoperatingsystemWindowsoperatingsystemSQL databaseWordPressapplicationDescriptionPHP �、安全でない PHP 関数のインジェクションなど、PHP �ーに PHP ��討を推奨POSIX ��ージョン (LFI) 攻撃を含むPOSIX および POSIX くのものを含む POSIX または POSIX 。Windows �ループには、PowerShell コマンドのリモート実行など、Windows ョンの一部が Windows ��使用することの検討を推奨。SQL Database ルールグループには、SQL インジェクション攻撃などの SQL �ことが可能。アプリケーションが SQL ��検討を推奨。WordPress ress ��ールが含まレル。WordPress ��このルールグループは、SQL データベースおよび PHP �み合わせて使用する必要がある。 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Capacity Unit100100200200100

ユースケース: AWS Managed Rulesを利用した多段防御AWS CloudVPC/my-LAMP-stack/Amazon EC2AWS WAFAWS ShieldAdvancedAWS WAFApplicationLoad BalancerAmazon S3VPCAmazonCloudFrontAmazon EC2/my-WISA-stack/AmazonRoute 53AWS WAFApplicationLoad BalancerAmazon S3 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

ユースケース: AWS Managed Rulesを利用した多段防御AWS CloudVPCAWS WAF/my-LAMP-stack/Amazon EC2AWS WAFAWS ShieldAdvancedAWS WAFApplicationLoad BalancerAmazon S3VPCAmazonCloudFrontAmazon EC2/my-WISA-stack/AmazonRoute 53AWS WAFApplicationLoad BalancerAmazon S3 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

ユースケース: AWS Managed Rulesを利用した多段防御AWS CloudVPCAWS WAF/my-LAMP-stack/Amazon EC2AWS WAFAWS ShieldAdvancedApplicationLoad BalancerWAFルール有効化:AWS WAFAmazonCloudFrontAmazon S3 AWS Managed Rules Core Ruleset AWS Managed Rules IP Reputation AWS Managed Rules Anonymous IP list Rate-based ruleVPCAmazon EC2/my-WISA-stack/AmazonRoute 53AWS WAFApplicationLoad BalancerAmazon S3 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

ユースケース: AWS Managed Rulesを利用した多段防御AWS CloudVPCAWS WAF/my-LAMP-stack/AWS WAFApplicationLoad BalancerAmazon S3VPCAmazonCloudFrontAmazon EC2/my-WISA-stack/AmazonRoute 53AWS WAFApplicationLoad BalancerAmazon S3 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Managed Rules forLinux AWS Managed Rules forPHP Custom RulesAmazon EC2AWS WAFAWS ShieldAdvancedWAFルール有効化:

ユースケース: AWS Managed Rulesを利用した多段防御AWS CloudVPCAWS WAF/my-LAMP-stack/Amazon EC2AWS WAFAWS ShieldAdvancedAWS WAFApplicationLoad BalancerAmazon S3VPCAmazonCloudFrontWAFルール有効化:Amazon EC2 AWS Managed Rules forWindows Custom Rules/my-WISA-stack/AmazonRoute 53AWS WAFApplicationLoad BalancerAmazon S3 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

本日のアジェンダ1.2.3.4.5.6.7.8.9.Web Application Firewall(WAF)とはAWS �点AWS WAFの詳細AWS Managed Rules for AWS WAFWeb ACL作成の流れログとモニタリングAWS WAF利用のための考慮事項料金体系 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

eb ACLを定義し、APIを呼び出すweb ACL: CreateWebACL または UpdateWebACLを利用 �/更新を実施 �なエラーメッセージが出力される例： WebACL has exceeded WCU capacity, rule statement is illogicalRuleGroup: CreateRuleGroup または UpdateRuleGroupIP set: CreateIPSet または UpdateIPSetRegex set: CreateRegexPatternSet または UpdateRegexPatternSet 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

WAFv2 edKeysAWS com/waf/latest/APIReference/API Operations.html 2020, Amazon Web Services, Inc. or its Affiliates. All rights teRuleGroupUpdateWebACL※ �� ListIPSets list-ip-setsaws wafv2 list-ip-sets --scope REGIONAL

APIによるWeb ACLの作成例// web �ない/別API）{“Name”: “foo”,// web ACLの名前“Scope”: “CLOUDFRONT”, // web ��“DefaultAction”: {// web �合のデフォルト動作"Block": {}// 1つ選ぶ"Allow": {}},“Description”: “foo”, // web ACLのDescription“Rules”: [ // ルール記載ブロック{ Rule #1 }, { Rule #2 }],“VisibilityConfig”: { // CloudWatch とSampledRequests の設定"SampledRequestsEnabled": true,"CloudWatchMetricsEnabled": true,"MetricName": "TestMetric"}} 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

ルールの記述例// �る"Rules": [{"Name": "foo",“Priority”: 1, // �）"Statements": { Condition // conditions 義},"Action": {"Block": {}"Allow": {}"Count": {}},"VisibilityConfig": {// CloudWatch とSampledRequests の設定"SampledRequestsEnabled": true,"CloudWatchMetricsEnabled": true,"MetricName": "TestMetric"}}// 必要な内容を継続して記載] 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

ステートメントの記述例 (XSS and SQLi)"Statement": {"OrStatement": {"Statements": [{"XssMatchStatement": {"FieldToMatch": {"QueryString": {}},"TextTransformations": [{"Priority": 1, "Type":{"Priority": 2, "Type":]}},{"SqliMatchStatement": {"FieldToMatch": {"Body": {}},"TextTransformations": [{"Priority": 1, "Type":{"Priority": 2, "Type":]}"URL DECODE”},”LOWERCASE”},"HTML ENTITY DECODE”},”NONE COMPRESS WHITE SPACE”} 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.テキスト変換の種類:NONECOMPRESS WHITE SPACEHTML ENTITY DECODELOWERCASECMD LINEURL DECODE

本日のアジェンダ1. Web Application Firewall(WAF)とは2. AWS WAFの機能3. アップデートによる主な変更点4. AWS WAFの詳細5. AWS Managed Rule for AWS WAF6. Web ACL作成の流れ7. ログとモニタリング8. AWS WAF利用のための考慮事項9. 料金体系10. まとめ 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWS WAF Full logs Kinesis Data �式でログを送出 ��含まれる �な情報をログから除外可能 dy) �れたかを確認可能Amazon Kinesis Data Firehose"terminatingRuleId": "STMTest SQLi XSS","terminatingRuleType": "REGULAR","action": "BLOCK","terminatingRuleMatchDetails": [{"conditionType": "SQL INJECTION","location": "HEADER","matchedData": ["10","AND","1"]Amazon} 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.S3Amazon RedshiftAmazonElasticSearch3 rd party tools

参考：Amazon Elasticsearch and Kibanaによるログ分析AWS CloudAmazonElasticSearchAWS WAFAmazonKinesisDataFirehoseAmazon S3For long-termstorageHow to analyze AWS WAF logs using Amazon Elasticsearch ervice/ 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.KibanaFor log analysisandvisualization

参考: rontの“Custom Error 定可能注意点：タムエラーページの機能を利用）オリジンによって返された 403と、AWS WAFが返す 403 を区別できませんステータスコード 403 �ん。アプリケーションが出す 403とAWS WAFが出す 403 �なります。 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

本日のアジェンダ1.2.3.4.5.6.7.8.9.10.Web Application Firewall(WAF)とはAWS �点AWS WAFの詳細AWS Managed Rules for AWS WAFWeb ACL作成の流れログとモニタリングAWS �め 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

参考資料 AWS WAF 開発者ガイドhttps://docs.aws.amazon.com/ja jp/waf/latest/developerguide/waf-chapter.htmlAWS マネージドルールルールグループのリストhttps://docs.aws.amazon.com/ja s-list.htmlAWS d-rule-groupschangelog.htmlAWS WAF V2 af/latest/APIReference/API azon.com/jp/waf/pricing/ 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

2019 年にaws wafが大幅にアップデートされました aws �ップデートで何が変わったのか、また、aws wafをまだお使いでない方には、aws �るのかをご理解いただく