この AWS ソリューション実装では、どのようなことが可能ですか?

AWS WAF は、アプリケーションの可用性、セキュリティ侵害、リソースの過剰消費に影響を及ぼす可能性のある一般的な攻撃パターンをブロックする、アプリケーション固有のカスタムルールを迅速に作成できるウェブアプリケーションファイアウォールです。AWS WAF では、セキュリティオートメーションを簡単にする API を介して完全に管理できるため、迅速なルール伝達およびインシデント対応が可能になります。

AWS WAF セキュリティオートメーションソリューションは、AWS CloudFormation を使用して、一般的なウェブベースの攻撃をフィルタリングするように設計された一連の AWS WAF ルールを自動的にデプロイします。ユーザーは、AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) に含まれるルールで定義された、事前設定の保護機能から選択できます。ソリューションがデプロイされると、AWS WAF では、ユーザーの既存の Amazon CloudFront ディストリビューションや Application Load Balancer に対するウェブリクエストの検査を開始し、適宜リクエストをブロックします。

このソリューションの最新バージョンでは、最新の Node.js ランタイムを使用します。バージョン 2.3 は Node.js 8.10 ランタイムを使用します。このランタイムは、2019 年 12 月 31 日にサポートが終了しました。このソリューションの最新バージョンをアップグレードするには、新しいスタックとしてソリューションをデプロイする必要があります。詳細については、デプロイガイドを参照してください。

AWS ソリューション実装の概要

AWS WAF セキュリティオートメーションのソリューションでは、ウェブアプリケーションへのアクセスを試みるリクエストをきめ細かく制御できます。下の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なアーキテクチャを示しています。

設計の中心にあるのは、すべての受信リクエストに対して一元化された検査および決定ポイントとして動作する AWS WAF のウェブ ACL です。選択してアクティブ化した保護機能により、ウェブ ACL に追加されるカスタムルールが決まります。

AWS WAF セキュリティオートメーション | アーキテクチャ図
 拡大イメージを見る

AWS WAF セキュリティオートメーションのソリューションアーキテクチャ

手動 IP リスト (A およびB): このコンポーネントにより 2 つの特定の AWS WAF ルールが作成され、ブロックまたは許可する IP アドレスを手動で追加できます。

SQL インジェクション (C) および XSS (D): このソリューションにより、URI、クエリ文字列、リクエストボディ内の一般的な SQL インジェクションやクロスサイトスクリプト (XSS) パターンから保護するよう設計された 2 つのネイティブ AWS WAF ルールが設定されます。

HTTP フラッド (E): このコンポーネントは、ウェブレイヤーの DDoS 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量の要求からなる攻撃から保護します。 

スキャナーとプローブ (F): このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索し、それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。 

IP 評価リスト (G): このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。

悪意のあるボット (H): このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。

AWS WAF セキュリティオートメーション

バージョン 2.3.3
最終更新日: 2020 年 6 月
著者: AWS

見積りデプロイ時間: 15 分

下のボタンをクリックして、ソリューションの更新を登録してください。

注: RSS 更新を購読するには、使用しているブラウザで RSS プラグインを有効にする必要があります。 

特徴

AWS WAF セキュリティオートメーションのリファレンス実装

開封してすぐに使える AWS WAF セキュリティオートメーションソリューションを利用するか、独自の WAF ルールセットを構築するためのリファレンス実装として使用します。

WAF ルールの迅速な設定

AWS CloudFormation テンプレートにより、最初のデプロイ時に含めるように選択した AWS WAF の設定と保護機能が自動的に起動および設定されます。

クロスサイトスクリプト (XSS) 攻撃の特定とブロック

このソリューションにより、URI、クエリ文字列、リクエストボディ内の一般的な SQL インジェクションや XSS パターンから保護するよう設計された 2 つのネイティブ AWS WAF ルールが設定されます。

ログ分析

アクティブになると、Athena の実行を調整し、結果の出力を処理し、AWS WAF を更新する Amazon Athena クエリとスケジュールされた AWS Lambda 関数を、AWS CloudFormation がプロビジョニングします。

アイコンを作成する
自分でソリューションをデプロイする

よくみられるアーキテクチャ上の問題に関して答えを知るため、AWS ソリューション実装のライブラリを閲覧する。

詳細はこちら 
APN パートナーを見つける
APN パートナーを見つける

サービスの開始をサポートする AWS 認定コンサルティングパートナーとテクノロジーパートナーを見つけましょう。

詳細はこちら 
アイコンについて調べる
ソリューションコンサルティングサービスについて調べる

ソリューションをデプロイし、AWS により審査済みのサポートを受けるため、コンサルティングサービスのポートフォリオを閲覧する。

詳細はこちら