この AWS ソリューションの内容

AWS WAF は、アプリケーションの可用性、セキュリティ侵害、リソースの過剰消費に影響を及ぼす可能性のある一般的な攻撃パターンをブロックする、アプリケーション固有のカスタムルールを迅速に作成できるウェブアプリケーションファイアウォールです。AWS WAF では、セキュリティオートメーションを簡単にする API を介して完全に管理できるため、迅速なルール伝達およびインシデント対応が可能になります。

AWS では AWS CloudFormation を使用したソリューションを提供しており、一般的なウェブベースの攻撃をフィルターするよう設計された AWS WAF のルールセットが自動的にデプロイされます。ユーザーは、AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) に含まれるルールで定義された、事前設定の保護機能から選択できます。ソリューションがデプロイされると、AWS WAF では、ユーザーの既存の Amazon CloudFront ディストリビューションや Application Load Balancer に対するウェブリクエストの検査を開始し、適宜リクエストをブロックします。

このソリューションのバージョン 2.3.1 では、最新の Node.js ランタイムを使用します。バージョン 2.3 は、Node.js 8.10 ランタイムを使用します。これは、2019 年 12 月 31 日にサポートが終了します。バージョン 2.3.1 にアップグレードするには、ソリューションを新しいスタックとしてデプロイする必要があります。詳細については、デプロイガイドを参照してください。

AWS ソリューションの概要

AWS WAF セキュリティオートメーションのソリューションでは、ウェブアプリケーションへのアクセスを試みるリクエストをきめ細かく制御できます。下の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なアーキテクチャを示しています。

設計の中心にあるのは、すべての受信リクエストに対して一元化された検査および決定ポイントとして動作する AWS WAF のウェブ ACL です。選択してアクティブ化した保護機能により、ウェブ ACL に追加されるカスタムルールが決まります。

waf-security-automations-architecture.png
 拡大イメージを見る

AWS WAF セキュリティオートメーションのソリューションアーキテクチャ

手動 IP リスト (A およびB): このコンポーネントにより 2 つの特定の AWS WAF ルールが作成され、ブロック (ブラックリスト) または許可 (ホワイトリスト) する IP アドレスを手動で追加できます。

SQL インジェクション (C) および XSS (D): このソリューションにより、URI、クエリ文字列、リクエストボディ内の一般的な SQL インジェクションやクロスサイトスクリプト (XSS) パターンから保護するよう設計された 2 つのネイティブ AWS WAF ルールが設定されます。

HTTP フラッド (E): このコンポーネントは、ウェブレイヤーの DDoS 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量の要求からなる攻撃から保護します。 

スキャナーとプローブ (F): このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索し、それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。 

IP 評価リスト (G): このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。

悪意のあるボット (H): このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。

AWS WAF セキュリティオートメーション

バージョン 2.3.1
最終更新日: 2019 年 12 月
筆者: AWS

見積りデプロイ時間: 15 分

ソリューションの更新について購読するには、下のボタンを使用してください。

注意: RSS 更新を購読するには、使用しているブラウザで RSS プラグインを有効にする必要があります。 

特徴

AWS WAF セキュリティオートメーションのリファレンス実装

開封してすぐに使える AWS WAF セキュリティオートメーションソリューションを利用するか、独自の WAF ルールセットを構築するためのリファレンス実装として使用します。

WAF ルールの迅速な設定

AWS CloudFormation テンプレートにより、最初のデプロイ時に含めるように選択した AWS WAF の設定と保護機能が自動的に起動および設定されます。

クロスサイトスクリプト (XSS) 攻撃の特定とブロック

このソリューションにより、URI、クエリ文字列、リクエストボディ内の一般的な SQL インジェクションや XSS パターンから保護するよう設計された 2 つのネイティブ AWS WAF ルールが設定されます。

ログ分析

アクティブになると、Athena の実行を調整し、結果の出力を処理し、AWS WAF を更新する Amazon Athena クエリとスケジュールされた AWS Lambda 関数を、AWS CloudFormation がプロビジョニングします。
Product-Page_Standard-Icons_01_Product-Features_SqInk
すべての AWS ソリューションを調べる

AWS が構築したソリューションから一般的なアーキテクチャの問題まで、概要をご覧ください。

詳細はこちら 
Next-Steps-Icon_Find-a-Partner-B
パートナーを見つける

サービスの開始をサポートする AWS 認定コンサルティングパートナーとテクノロジーパートナーを見つけましょう。

詳細はこちら 
Product-Page_Standard-Icons_03_Start-Building_SqInk
コンソールで構築を開始する

サインアップしてサービスの使用を開始しましょう。

開始方法