Category: AWS WAF

この記事は、Dmitriy Novikovによって投稿された Fine-tune and optimize AWS WAF Bot Control mitigation capability を翻訳したものです。 はじめに 数年前の AWS Summit Sydney で、ある参加者から素晴らしい質問を受けました。彼女は、Amazon Web Services (AWS) 上のウェブ上のリソースをシンプルなボットから保護するために、コスト効率がよく、信頼性が高く、複雑すぎないソリューションを設計するのを手伝ってほしいと言いました。AWS WAF Bot Control のリリースにより、その質問にエレガントなソリューションで対応できるようになったので、私はこのときのことをよく覚えています。Bot Control の機能は、Web アプリケーションに対するトラフィックの 50% 以上を占める一般的で広範なボットのフィルタリングを開始するために、スイッチを入れるだけの問題になっているのです。 新機能 – AWS WAF Bot Control でウェブサイトの不要なトラフィックを削減 では、AWS WAF Bot Control とその機能の一部が紹介されています。この記事では、どこから始めればいいのか、どの要素を設定と保護のために使用すればよいかについて、知るべき情報をカバーしています。本記事では、密接に関連する機能を明らかにし、重要な考慮事項、ベストプラクティス、および一般的なユースケースのためのカスタマイズ方法について説明します。

この記事は Design your firewall deployment for Internet ingress traffic flows （記事公開日：2021 年 2 月 21 日）を翻訳したものです。一部更新・加筆しています。 前書き インターネットに接続するアプリケーションを公開するには、外部の脅威や不要なアクセスから保護するためにどのようなセキュリティ管理が必要かを慎重に検討する必要があります。これらのセキュリティ管理は、アプリケーションの種類、環境の規模、運用上の制約、または必要な検査のレイヤによって異なる場合があります。ネットワークアクセスコントロールリスト (NACL) とセキュリティグループ (SG) を実行すると十分な保護が得られる場合や、追加のファイアウォールコンポーネントが必要になる場合があります。 NACL や SG 以外にも、AWS Web Application Firewall (AWS WAF) をデプロイしたり、サードパーティのセキュリティアプライアンスを AWS ネットワークに導入したりすることもできます。AWS Network Firewall や AWS Gateway Load Balancer などの新しいサービスの追加により、AWS でのファイアウォールアーキテクチャの設計における柔軟性がさらに高まりました。

AWS WAF の AWS マネージドルールは、AWS が作成したルール群として提供され、お客様が独自のルールを作成することなく、一般的なアプリケーションの脆弱性やその他のシステムへの不要なアクセスからお客様のアプリケーションを保護するために使用することが可能です。AWS 脅威リサーチチームは、お客様のアプリケーションを保護するために、刻々と変化する脅威の状況に対応するためにAWS マネージドルールを更新しています。 最近では、AWS WAF はルールのカスタマイズを中心とした 4 つの新機能を発表しました。

はじめに SAP S/4HANAを導入するお客様の多くがHTML5をベースしたSAPアプリケーションのUser InterfaceコンポーネントであるSAP Fioriのセキュリティ対策について課題を抱えています。その出発点として、Webアプリケーションの最も重大なセキュリティリスクに関する幅広いコンセンサスを示すThe OWASP Top 10（Open Web Application Security Project）を参照することにします。SAP Fioriのセキュリティリスクを最小化する緩和策として採用することができます。

*本投稿は原文 (2021年12月23日更新版) の日本語訳です 概要 この投稿では、最近公開された Log4j の脆弱性に対応しているお客様を支援するためのガイダンスを提供します。ここでは、脆弱性のリスクを制限するためにできること、問題の影響を受けやすいかどうかを特定する方法、適切なパッチでインフラストラクチャを更新するためにできることについて説明します。 Log4j の脆弱性（CVE-2021-44228、CVE-2021-45046）は、ユビキタスロギングプラットフォームの Apache Log4j における重大な脆弱性（CVSS 3.1 基本値 10.0）です。この脆弱性により、攻撃者は脆弱なプラットフォームでリモートでコードを実行する可能性があります。バージョン 2.0-beta-9 と 2.15.0 の間の Log4j のバージョン 2 が影響を受けます。 この脆弱性は、Java プログラムによって使用される Java Naming and Directory Interface (JNDI) を使用します。JNDI は、通常、ディレクトリ (この脆弱性の場合は LDAP ディレクトリ) を介してデータを検索します。 下の図 1 は、Log4j JNDI 攻撃フローを示しています。

2016 年に、分散型サービス妨害 (DDoS) に対するマネージド型保護サービスである AWS Shield がリリースされました。これは、AWS で実行されているアプリケーションを保護するサービスです。AWS Shield では、AWS Support に連絡することなく、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時オンの検出と自動インライン緩和機能が提供されます。 AWS Shield には、Standard と Advanced の 2 つのティアがあります。すべての AWS のお客様は、AWS Shield Standard によるネットワークレイヤーの自動保護の利点を無料で受けることができます。AWS Shield Standard は、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤー (レイヤー 3 および 4) の DDoS 攻撃を防御し、AWS のサービスの可用性を最大化します。

注：このブログでは、AWS サービスの IP レンジの情報から AWS WAF IP セットを自動的にアップデートする方法を説明しています。こちらの関連ブログでは VPC Security Group で使用されている Amazon CloudFront の IP レンジについて、同様のアップデートを行う方法を説明しています。 AWS Managed Rules for AWS WAF を使用すると、Web アプリケーションのベースライン保護をすばやく構築することができます。しかし、状況によっては AWS サービスの IP アドレスレンジで IP セットを作成し、これらサービスからのトラフィックを許可したい時があります。このブログでは AWS WAF の IP セットを、AWS サービスの Amazon CloudFront、Amazon Route 53 のヘルスチェック、Amazon EC2（さらに AWS Lambda、Amazon CloudWatch など、同じ IP アドレスレンジを共有するサービス）の IP アドレスレンジで自動的に更新するソリューションを紹介します。これらのサービスは AWS Managed Rules のAnonymous […]

オンライン授業用番組ライブラリーを開発した背景 2020年に発生した新型コロナウイルス感染症（COVID-19）のパンデミックにより教育現場のオンライン化が進み、従来であれば対面で授業を行っていた大学でもオンライン授業が行われるようになりました。教育機関では対面での授業であれば、動画コンテンツのような著作物を条件を満たしている場合に限り著作権者の許諾なくかつ無償で利用することが可能です。しかし、オンライン授業で著作物を利用する場合は有償利用となり、著作物の利用に際して手続きする必要があるという課題があります。 このような状況下で大学から相談を受けた株式会社NHKエンタープライズは、オンライン授業で利用する著作物の権利処理の手間をなくすため、日本放送協会（NHK）で放送した権利処理済の動画コンテンツを大学でのオンライン授業はもちろん、自習や予習にも利用できるソリューション「オンライン授業用番組ライブラリー」（以降 番組ライブラリー）を構築・提供しています。

※2021年9月22日 ALB リスナールールでのリクエストタグ付けのユースケースは、すべてのケースに当てはまらないため削除しました。 AWS WAF は 2021年 3月にカスタムレスポンスとリクエストヘッダー挿入をサポートしました。このブログでは AWS WAF をカスタマイズして、アプリケーションのユーザー体験及びセキュリティを向上させる方法を紹介します。

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 AWS WAF が大阪リージョンでご利用いただけるようになりましたのでお知らせいたします。 AWS WAF AWS WAF は、可用性、セキュリティ侵害、不正な外部リクエストにより発生するリソースの過剰消費等、ウェブの脆弱性を利用した一般的な攻撃やボットから、ウェブアプリケーションまたは API を保護するウェブアプリケーションファイアウォールのマネージドサービスです。トラフィックを制御し、SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成することができ、さらに特定のトラフィックパターンをフィルタして取り除くように、ルールをカスタマイズすることが可能です。