Amazon Web Services ブログ
AWS WAF が大阪リージョンでご利用いただけるようになりました
みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。
AWS WAF が大阪リージョンでご利用いただけるようになりましたのでお知らせいたします。
AWS WAF
AWS WAF は、可用性、セキュリティ侵害、不正な外部リクエストにより発生するリソースの過剰消費等、ウェブの脆弱性を利用した一般的な攻撃やボットから、ウェブアプリケーションまたは API を保護するウェブアプリケーションファイアウォールのマネージドサービスです。トラフィックを制御し、SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成することができ、さらに特定のトラフィックパターンをフィルタして取り除くように、ルールをカスタマイズすることが可能です。
AWS WAF は Amazon CloudFront 上にデプロイし、Application Load Balancer や、REST API を使用するための Amazon API Gateway、または GraphQL API 用の AWS AppSync と連携させることが可能です。
AWS Managed Rules for AWS WAF
AWS WAF ではルールを管理者が作成することが可能ですが、世の中によく知られた攻撃や一般的な脅威を保護するルールを個別の管理者が作成していくには、多くの重複した作業が発生し効率的ではなく、また作業ミスなども考えられます。AWS WAF では AWS Managed Rules for AWS WAF という機能が提供されており、AWS または AWS Marketplace セラーが管理する定義済みのルールセットを設定しご利用いただくことが可能です。このルールを用いることで例えば、OWASP Top 10 (OWASP(Open Web Application Security Project:オワスプ という団体が定期的に発行しているWebセキュリティのレポートにおける警戒すべき上位10項目) のようなセキュリティリスクや、DDoS攻撃対策用ルールなどを簡易に設定することが可能になっています。
例えばAWS 管理のマネージドルールには以下のようなものが存在しています。
- コアルールセット (Core Rule Set)
- 前述のOWASP Top 10 リストに加えた、ウェブアプリケーションに一般的に適用可能なルールセット
- 管理者保護
- サードパーティーのソフトウェアを実行している場合、悪意のある第三者からのアクセスのリスクを軽減
- 既知の不正な入力
- 脆弱性の悪用または発見を試みるリクエストに関連するパターンをブロックするルール
- SQL データベース
- SQL インジェクション攻撃などの SQL データベースの悪用に関連するリクエストパターンをブロックするルール
- Linux オペレーティングシステム
- Linux 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール
- POSIX オペレーティングシステム
- POSIX および POSIX と同等のオペレーティングシステムに固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール
- Windows オペレーティングシステム
- PowerShell コマンドのリモート実行など、Windows 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール
- PHP アプリケーション
- 安全でない PHP 関数のインジェクションなど、PHP プログラミング言語の使用に固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール
- WordPress アプリケーション
- WordPress サイト固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール
- Amazon IP 評価リスト
- Amazon 内部脅威インテリジェンスに基づくルール
- 匿名 IP リスト
- VPN、プロキシ、Tor等、ビューワー ID の難読化を許可するサービスからのリクエストをブロックするルール
- AWS WAF ボットコントロール
- 広告目的やアーカイブ目的などのボットからのリクエストをブロックして管理するルール
これらのルールの利用は該当するインシデントが発生しないことをAWSが保証するものではありませんが、基本的なセキュリティを素早く構築するためのベースラインとして有益に作用します。
AWS Shield Advanced
今回の大阪リージョンのアップデートでは、AWS WAF と同時に AWS Shield Advanced もご利用可能となりました。AWS Shield はマネージド型のDDoS 攻撃に対する保護サービスで、Amazon CloudFront や Amazon Route 53 のすべてのリソースは、自動で追加費用なしでAWS Shield の機能が付与されています。Shield AdvancedはCloudFront や Route53 に加えてさらに、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、AWS Global Accelerator アプリケーションを標的とした攻撃に対する高レベルな保護が提供される有償のサービスです。無償の Standard に付属しているネットワークおよびトランスポートレイヤーの保護に加えて、Shield Advanced は大規模で高度な DDoS 攻撃に対する追加の検出および緩和策と、ほぼリアルタイムの可視性が提供されます。また、AWS WAF と統合されているため、組み合わせてご利用いただくことで、インフラストラクチャ (レイヤー 3 および 4) からアプリケーションレイヤ (レイヤー7) までを網羅的に保護することが可能となります。
Shield Advanced はさらに、24 時間 365 日の AWS DDoS レスポンスチーム へのアクセス、および 保護対象のサービスに対して、DDoS攻撃により発生した急激なトラフィックのスパイクによる課金の上昇に対する保護を提供します。
詳しくはこちらをご覧ください。
– シニアエバンジェリスト 亀田