概要
AWS WAF を使用することで、攻撃パターンをブロックするための、カスタムでアプリケーションに固有のルールを作成できます。これにより、アプリケーションの可用性とリソースの安全性を確保し、過剰なリソースの消費を防ぐことができます。
この AWS ソリューションでは、最新バージョンの AWS WAF (AWS WAFV2) サービス API がサポートされています。
メリット
AWS CloudFormation テンプレートを使用して、最初のデプロイ時に含めるように選択した AWS WAF の設定と保護機能を自動的に設定します。
AWS CloudFormation を有効にして、Amazon Athena クエリと、Athena のオーケストレーション、結果出力の処理、AWS WAF の更新を担当するスケジュールされた AWS Lambda 関数をプロビジョニングします。
カスタマイズされたダッシュボードを構築して、このソリューションによって生成された Amazon CloudWatch メトリクスを視覚化し、攻撃のパターンと AWS WAF によって提供される保護に関する洞察を得ることができます。
技術的な詳細情報
このアーキテクチャは、実装ガイドと関連する AWS CloudFormation テンプレートを使用して自動的にデプロイできます。
A.AWS のマネージドルール
この一連の AWS マネージドルールは、さまざまな一般的なアプリケーションの脆弱性やその他の不要なトラフィックの悪用に対する保護を提供します。
B. および C. 手動 IP リスト
このコンポーネントにより 2 つの特定のAWS WAFルールが作成され、許可または拒否する IP アドレスを手動で追加できます。IP 保持を設定しこれらの IP リストから期限切れの IP アドレスを削除することもできます。
D. および E. SQL インジェクションおよび XSS
このソリューションにより、2 つのAWS WAFルールが設定されます。これらのルールは URI やクエリ文字列、あるいはリクエストボディ内にある、一般的な SQL インジェクションや XSS パターンからの保護用に設計されています。
F.HTTP フラッド
このコンポーネントは、ウェブレイヤーの分散型サービス妨害 (DDoS) 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量のリクエストで構成される攻撃から保護するのに役立ちます。デフォルトの 5 分間に 1 つの IP アドレスから許可される受信リクエストの最大数を定義するクォータを設定できます。
G.スキャナーとプローブ
このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索します。それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。
H.IP レピュテーションリスト
このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティーの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。
I.悪質なボット
このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。
A.AWS のマネージドルール
この一連の AWS マネージドルールは、さまざまな一般的なアプリケーションの脆弱性やその他の不要なトラフィックの悪用に対する保護を提供します。
B. および C. 手動 IP リスト
このコンポーネントにより 2 つの特定のAWS WAFルールが作成され、許可または拒否する IP アドレスを手動で追加できます。IP 保持を設定しこれらの IP リストから期限切れの IP アドレスを削除することもできます。
D. および E. SQL インジェクションおよび XSS
このソリューションにより、2 つのAWS WAFルールが設定されます。これらのルールは URI やクエリ文字列、あるいはリクエストボディ内にある、一般的な SQL インジェクションや XSS パターンからの保護用に設計されています。
F.HTTP フラッド
このコンポーネントは、ウェブレイヤーの分散型サービス妨害 (DDoS) 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量のリクエストで構成される攻撃から保護するのに役立ちます。デフォルトの 5 分間に 1 つの IP アドレスから許可される受信リクエストの最大数を定義するクォータを設定できます。
G.スキャナーとプローブ
このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索します。それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。
H.IP レピュテーションリスト
このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティーの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。
I.悪質なボット
このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。
関連コンテンツ
このコースでは、AWS のセキュリティテクノロジー、ユースケース、メリット、およびサービスの概要について説明します。インフラストラクチャ保護セクションでは、トラフィックフィルタリング用の AWS WAF について説明します。
Amazon Macie は、機械学習によって AWS 内の機密データを自動的に検出、分類、保護するセキュリティサービスです。このコースでは、Amazon Macie、同サービスの仕組み、およびサービスを推進する基本的な概念を紹介します。
この試験は AWS プラットフォームのセキュリティ強化における技術的専門知識の試験です。熟練したセキュリティ担当者が対象です。
そこで Peach は AWS にソリューションを求め、サイバー攻撃をブロックするだけでなく阻止することで、不要なサービスの速度低下を抑え、顧客の信頼を高めることに成功した。