Amazon Web Services ブログ

Category: AWS WAF

AWS WAF と AWS Shield Advanced のコストをどのように見積もるか?

このブログ記事は Benjamin Lecoq,  AWS Senior Technical Account Manager によって投稿されました。 コスト管理に関するブログ記事の多くは、AWS の使用料や支出を全体的に管理・最適化するためのベストプラクティスを紹介することに重点を置いています。 この記事では、AWS セキュリティ製品にかかる費用をどのように見積もることができるかについて、範囲を絞ってご紹介します。

Read More
Modify Path

Visitor PrioritizationソリューションをCloudFront Functionsを使って実装するための考慮点

約3年前になる2018年7月に「Visitor Prioritization on e-Commerce Websites with CloudFront and Lambda@Edge」と題してCloudFront と Lambda@Edge を利用したユーザーの優先制御、流量制御を行うためのソリューションを紹介いたしました。ここで例を上げたような、ホリデーシーズン、キャンペーン、新製品の発売などのイベント、ウェブサイトのトラフィックが急速に増加する可能性があるイベントというのはもちろん今でも存在し、その対応に苦心されているケースは多いと思います。特に最近は全世界的にインターネットのトラフィックが増えており、オンラインイベント、コンサート等のチケット予約や限定商品やゲームのダウンロード販売などトラフィックが集中するような機会は増えておりますので、このソリューションを活用できるような場面が増えてきているのではないかと考えます。

Read More

新機能 – AWS WAF Bot Control でウェブサイトの不要なトラフィックを削減

AWS Shield の脅威調査チームが行った調査では、一般的なウェブアプリケーションに向けられたトラフィックの内の最大 51% は、マシン上で実行されるスクリプト (いわゆるボット) に由来することが判明しています。エンドポイントには、(望まいものや、そうではないものを含め) 多種多様なボット がヒットします。 適切なボットは、サイトをクロールしてインデックスを作成し、顧客から見つけやすくするためのものです。それ以外のボットは、サイトの可用性やパフォーマンスの監視を目的にしています。そして、こういったトラフィックの大部分は、不適切なボットによって生成されています。これらのスクリプトでは脆弱性を調査していたり、運営者の同意なしにコンテンツをコピーして別の場所に複製していたりします。これはセキュリティ上のリスクであるだけでなく、トラフィックを処理することでインフラストラクチャに対する不必要なプレッシャーとなり、コストも発生させます。 こういった望ましくないトラフィックからウェブサイトを保護することは、時間がかかる作業であり、エラーの原因ともなり得ます。保護のための一連のルールは管理が複雑です。そこには、良好なトラフィックをブロックしてしまったり、逆にブロックすべきトラフィックを承認してしまったりといったリスクが存在ます。 AWS WAF Bot Control の紹介 当社では今回、AWS WAF Bot Control をご紹介できるはこびとなりました。この機能では、一般的なボットトラフィックを特定し、そのための可視性を向上し、対策のためのアクションを実行できます。AWS WAF Bot Control は、AWS Web Application Firewall に統合されたサービスです。エンタープライズでの大規模なユースケース向けに、AWS Firewall Manager を使用して集中管理することができます。 Bot Control は、TLS ハンドシェイク、HTTP 属性、IP アドレスなどのリクエストメタデータを分析することで、ボットの発信元と目的を特定します。特定されるボットはスクレーパー、SEO、クローラ、サイトモニターなどのタイプにカテゴリー分けされます。 Bot Control が認識した望ましくないボットに対しては、そのトラフィックをブロックできます。ユーザーは、WAF 設定の中に定義されたデフォルトのアクションをシンプルに受け入れ、望ましくないボットトラフィックをブロックすることができます。また、その設定を独自にカスタマイズすることも可能です。例えば、レスポンス機能をカスタマイズして、ボットの識別結果に応じたレスポンスを返させたり、新しいヘッダーを挿入してそのリクエストにフラグを付けたりができます。AWS WAF との統合により、アプリケーションへのボットトラフィックの範囲を視覚化でき、WAF ルールを利用すればトラフィックの制御が可能です。 Bot Control では、AWS WAF のマネージドルールグループに今回追加した、 2 つの新しい機能 (ラベル付けとスコープダウン用のステートメント) を使用します。AWS WAF […]

Read More

Amazon API Gateway で API キーを使わずに認証とアクセス制御を行う

はじめに Amazon API Gateway の API キーの利用を検討したものの、API キーの制約によってプロダクトの要件を満たせないことがあります。その際、それぞれ Amazon Cognito を利用した認証と AWS WAF を用いた IP ベースのレート制限を利用するという代替案をご紹介いたします。 背景 筆者は普段、プロトタイピングソリューションアーキテクトとして、お客様のプロダクトのプロトタイプ作りをお手伝いさせていただいております。お客様の中には、ユーザー認証やアクセス制御として Amazon API Gateway の API キーの利用を検討している場合があります。しかし、API キーでお客様の要件を満たせるかどうかは、慎重に検討が必要です。 API キーには数の上限があります。Amazon API Gateway のクォータと重要な注意点 にも記載がある通り、1 アカウント、1 リージョンあたりの API キー数の上限は 500 です。そのため、多くのユーザーを抱える API では API キーによる認証は適さないと言えます。 API キーのセキュリティについても検討が必要です。API キーは有効期限が設定できないので、有効期限を設定可能な認証方法に比べ、漏洩した際のリスクが大きいです。 このように、 API キーは容易に利用が可能な反面、いくつかの考慮事項があるため、選定は慎重に行う必要があります。次の考察で、認証とアクセス制限について、それぞれ代替案をご紹介したいと思います。 考察 では、ユースケース別に代替案をご紹介いたします。 一つ目は、認証として API キーを利用したいケースです。それぞれのユーザーに対し、ユニークな API キーを割り当てることを想定しています。この場合、背景にて説明した API […]

Read More
siem-sample-dashboard

AWS サービスのログの可視化やセキュリティ分析を実現する SIEM on Amazon Elasticsearch Service 公開のお知らせ

みなさん、こんにちは。セキュリティ ソリューション アーキテクトの中島です。先日(2020年10月23日)にオープンソースで公開した SIEM on Amazon Elasticsearch Service (Amazon ES) をご紹介します。SIEM on Amazon ES は、セキュリティインシデントを調査するためのソリューションです。AWS のマルチアカウント環境下で、複数種類のログを収集し、ログの相関分析や可視化をすることができます。 SIEM on Amazon ES とは SIEM は Security Information and Event Management の略で、セキュリティ機器、ネットワーク機器、その他のあらゆる機器のデータを収集及び一元管理をして、相関分析によって脅威検出とインシデントレスポンスをサポートするためのソリューションです。Amazon ES は、オープンソースの Elasticsearch と Kibana を大規模かつ簡単でコスト効率の良い方法を使用してデプロイ、保護、実行する完全マネージド型サービスです。Amazon ES の環境に SIEM として必要な機能を実装したのが SIEM on Amazon ES です。

Read More

[AWS Black Belt Online Seminar] AWS WAFアップデート 資料及び QA 公開

先日 (2020/03/24) 開催しました AWS Black Belt Online Seminar「AWS WAFアップデート」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200324 AWS Black Belt Online Seminar AWS WAFアップデート AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. AWS Managed rules for AWS WAF は AWS WAF Classic でも利用できますか? A. AWS Managed rules for AWS WAF は、AWS WAF Classic では利用できません。 Q. Amazon API Gateway に最適化された Managed ルールはありますか? A. パートナーManagedルールに、Amazon API Gateway […]

Read More

DDoS に対する AWS のベストプラクティス – ホワイトペーパーが更新されました

あなたは分散型サービス拒否 (DDoS) 攻撃やその他のサイバー攻撃の影響からビジネスを守るために働いており、アプリケーションの可用性と応答性を確保し、サービスに対するお客様の信頼を維持したいと考えています。また、攻撃に対応するためにインフラストラクチャをスケールする必要がある場合でも、不必要なコスト上昇を避けたいと考えています。 AWS はインターネット上の攻撃を防ぎ、高可用性・セキュリティの確保および回復力を得られるように、ツール・ベストプラクティスおよびサービスを提供することをお約束します。私達は最近、2018 年版の DDoS に対する AWS のベストプラクティス(英語のみ)のホワイトペーパーをリリースしました。今回のアップデートでは、 DDoS 攻撃への対策を強化するのに役立つ、以下の新しく開発された AWS サービスを考慮に入れています: 追加された AWS サービス: AWS Shield Advanced、AWS Firewall Manager および AWS Application Load Balancer のような新世代の ELB 追加された AWS サービスの機能: AWS WAF Managed Rules、AWS WAF Rate Based Rules、新しい世代の Amazon EC2 インスタンスおよび API Gateway のリージョン API エンドポイント このホワイトペーパーは、DDoS 攻撃に対する回復力のあるアプリケーションを構築するための規範的な DDoS ガイダンスを提供します。ボリューム型攻撃やアプリケーション層に対する攻撃など、さまざまな攻撃タイプを紹介し、各攻撃タイプを管理する上で最も効果的なベストプラクティスを説明します。また、DDoS 緩和戦略に適合するサービスや機能および、それぞれがどのようにアプリケーションを保護するのに役立つのかについて要点を説明します。 原文: AWS […]

Read More

すぐに使用できるマネージドルールがAWS WAFで利用可能に

現在利用可能となりました、AWS WAFマネージドルールにより、WebアプリケーションやAPIをインターネットの脅威から簡単に保護することができます。Alert Logic、Fortinet、Imperva、Trend Micro、TrustWaveなど、業界をリードするセキュリティ専門家がAWS Marketplaceで提供する事前設定済みのルールグループから選択します。ルールは新しい脅威が出現すると自動的に更新され、OWASP Top 10リスクの軽減、悪いボットからの防御、最新のCVEに対する仮想パッチの適用などに対応します。その他にもWordPressやDrupalなどのコンテンツ管理システムを含む、アプリケーションプラットフォームを保護するための、特定領域に特化したマネージドルールグループもあります。各ルールグループは、提供元のユニークな専門知識が入った製品で、使った分だけの手頃な価格でご利用頂けます。 AWSのマネージドルールは、セキュリティルールの作成やサーバーの管理などに費やす時間を短縮するのに役立ちます。 AWS WAFのマネージドルールは、長期契約や高価なプロフェッショナルサービス契約なしで利用できます。AWS MarketplaceまたはAWS WAF管理コンソールからAWS WAF用のマネージドルールを購入し、数回クリックするだけで展開できます。 AWS WAFのマネージドルールの詳細については、AWS Marketplaceをご覧ください。

Read More

AWS WAF 用のレートベースのルールでウェブサイトとサービスを保護

AWS WAF (ウェブアプリケーションファイアウォール) は、悪質または不正なリクエストに関与する様々なタイプのアプリケーションレイヤー攻撃からアプリケーションを保護するために利用できます。このサービスについて説明したブログ (「新しい AWS WAF について (New – AWS WAF)」でもお見せしましたが、クロスサイトスクリプティング、IP アドレス、SQL インジェクション、サイズ、コンテンツ制約に見合うルールを定義できます。 受信リクエストがルールと一致すると、アクションが呼び出されます。アクションは許可やブロックを実行したり、単にマッチ数をカウントすることができます。既存のルールモデルはパワフルかつ様々な種類の攻撃を検出し対応することができます。ただし、特定の IP アドレスから送られた有効なリクエストが大量に送信されただけのケースでは、攻撃として対応することはできません。こうしたリクエストはウェブレイヤーの DDoS 攻撃や総当たりのログインの試行、もしくはパートナー統合で不具合があった場合の可能性があります。 新しいレートベースのルール 本日、WAF にレートベースのルールを追加しました。これにより、ブラックリストへの IP アドレスの追加または削除を管理できるようになり、例外や特別なケースに対応できる柔軟性も提供します。IP アドレスをブラックリストに追加 – 設定済みのしきい値を超える速度でリクエスト数を送信した IP アドレスをブラックリストに追加することができます。IP Address のトラッキング– どの IP アドレスがブラックリストに追加されているか見ることができます。IP Address の削除 – ブラックリストに追加された IP アドレスは、設定済みのしきい値を超える速度でリクエストを送信しないようになれば自動的にリストから削除されます。IP Address の例外 – 特定の IP アドレスをブラックリストの対象外として設定することができます。その場合はレートベースのルール内にある IP アドレスのホワイトリストを使用してください。たとえば、自分のサイトに信頼できるパートナーが高速でアクセスできるように許可したい場合もあるでしょう。モニタリングおよびアラーム発行 – 各ルールに発行した CloudWatch メトリクスでモニタリングしたりアラーム発行をすることができます。新しいレートベースのルールと WAF の条件を組み合わせて高度なレート制限戦略を取り入れることもできます。たとえば、レートベースのルールやログインページと一致する WAF […]

Read More

IPv6 サポートの更新 – CloudFront、WAF、S3 Transfer Acceleration

先日のブログ「Amazon S3 で IPv6 をサポート」の続報として、今回は Amazon CloudFront、Amazon S3 Transfer Acceleration、AWS WAF と 50 か所以上に渡るすべての CloudFront エッジロケーションでも IPv6 サポートが利用可能になったことをお知らせします。AWS では、すべての自律システムネットワーク (ASN) で IPv6 を有効にするための段階的な移行プロセスを本日より開始し、今後数週間に渡りすべてのネットワークで拡張する予定です。 CloudFront IPv6 のサポート 各 Amazon CloudFront ディストリビューションごとに IPv6 サポートを有効にすることができます。IPv6 を使用して CloudFront エッジロケーションに接続する閲覧者とネットワークは自動的に IPv6 でコンテンツを取得します。IPv4 を使用して接続する場合は以前のように機能します。オリジンサーバーへの接続には IPv4 を使用します。 新たに作成したディストリビューションでは自動的に IPv6 が有効になります。既存のディストリビューションを変更するには [Enable IPv6] を有効にします。これはコンソールまたは CloudFront API から設定できます。 この新機能の重要事項については次をご覧ください。 エイリアスレコード – ディストリビューションで IPv6 サポートを有効にすると、ディストリビューションの […]

Read More