AWS での WAF オートメーション

重要: 2022 年 01 月 18 日をもって、WAF Classic 向け AWS での WAF オートメーションは非推奨となりました。最新の機能やアップデートについては、最新の WAFV2 に対応している AWS での WAF オートメーションをご利用いただくことをお客様にお勧めします。

この AWS ソリューションの内容

このソリューションでは、一般的なウェブベースの攻撃をフィルタリングするための、一連の AWS WAF (ウェブアプリケーションファイアウォール) ルールが自動的にデプロイされます。ユーザーは、事前設定の保護機能を選択することで、AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) に含まれるルールを定義することができます。デプロイが完了すると、AWS WAF によりウェブリクエストが検査され、Amazon CloudFront ディストリビューションや Application Load Balancer が保護されるようになります
 

AWS WAF を使用することで、攻撃パターンをブロックするための、カスタムでアプリケーションに固有のルールを作成できます。これにより、アプリケーションの可用性とリソースの安全性を確保し、過剰なリソースの消費を防ぐことができます。

AWS での WAF オートメーションソリューションでは、最新バージョンの AWS WAF (AWS WAFV2) サービス API がサポートされています。

関連コンテンツを確認するにはこちらをクリック 

利点

すぐに使えるソリューション、または独自の WAF ルールセットの構築が可能

開封してすぐに使える AWS での WAF オートメーションソリューションとして利用できるほか、独自の WAF ルールセットを構築することも可能です。

クロスサイトスクリプティング (XSS) 攻撃の特定とブロック

このソリューションにより、2 つのネイティブ AWS WAF ルールが設定されます。これらのルールは URI やクエリ文字列、あるいはリクエストボディ内にある、一般的な SQL インジェクションや XSS パターンからの保護用に設計されています。

WAF ルールを素早く設定
空欄

AWS CloudFormation テンプレートにより、最初のデプロイ時に使用を選択した AWS WAF の設定と保護機能が、自動的に起動および設定されます。

ログ分析
空欄

アクティブになると、Athena の実行を調整し、結果の出力を処理し、AWS WAF を更新する Amazon Athena クエリとスケジュールされた AWS Lambda 関数を、AWS CloudFormation がプロビジョニングします。

  • AWS での WAF オートメーション
  • AWS での WAF オートメーション

  • AWS ソリューションの概要

    AWS での WAF オートメーションのソリューションでは、ウェブアプリケーションへのアクセスを試みるリクエストをきめ細かく制御できます。下の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なアーキテクチャを示しています。

    設計の中心にあるのは、すべての受信リクエストに対して一元化された検査および決定ポイントとして動作する AWS WAF のウェブ ACL です。選択してアクティブ化した保護機能により、ウェブ ACL に追加されるカスタムルールが決まります。

    MediaStore を使用した AWS ライブストリーミング | アーキテクチャ図
    MediaStore を使用した AWS ライブストリーミング | アーキテクチャ図
    閉じる
     クリックして拡大

    AWS での WAF オートメーションのアーキテクチャ

    AWS マネージドルール (A): この一連の AWS マネージドコアルールは、さまざまな一般的なアプリケーションの脆弱性やその他の不要なトラフィックの悪用に対する保護を提供します。

    手動 IP リスト (B および C): このコンポーネントにより 2 つの特定の AWS WAF ルールが作成され、ブロックまたは許可する IP アドレスを手動で追加できます。IP 保持を設定しこれらの IP リストから期限切れの IP アドレスを削除することもできます。

    SQL インジェクション (D) および XSS (E): このソリューションにより、URI、クエリ文字列、リクエストボディ内の一般的な SQL インジェクションやクロスサイトスクリプト (XSS) パターンから保護するよう設計された 2 つのネイティブ AWS WAF ルールが設定されます。

    HTTP フラッド (F): このコンポーネントは、ウェブレイヤーの DDoS 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量のリクエストで構成される攻撃から保護するのに役立ちます。この機能は、5 分間で 100 未満のリクエストのしきい値をサポートします。

    スキャナーとプローブ (G): このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索します。それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。

    IP 評価リスト (H): このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティーの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。

    悪意のあるボット (I): このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。

    続きを読む 
    簡易表示

    AWS での WAF オートメーション

    バージョン 3.2.0
    最終更新日: 2021 年 9 月
    作成者: AWS

    予想デプロイ時間: 15 分

    予想コスト ソースコード  CloudFormation テンプレート 
    実装ガイドを表示
    AWS コンソールで起動する
    AWS IQ エキスパートでデプロイする

    その他のリソース

    実装ガイドをダウンロードする  

    リソースとよくある質問 »
    お問い合わせ »

    下のボタンをクリックして、ソリューションの更新を登録してください。
    RSS フィードを購読

    注意: RSS 更新を購読するには、使用しているブラウザで RSS プラグインを有効にする必要があります。

    このソリューション実装は役に立ちましたか?
    はい
    いいえ
    フィードバックを送る 

関連コンテンツ

カスタマーリファレンス
Peach は AWS セキュリティオートメーションを使用し、セキュリティと顧客の信頼性を高める
デジタル広告会社 Peach はデジタル分野に大きな足跡を残しているが、歴史的に見てサイバー攻撃のリスクは高くない。しかし攻撃が増加してきたことで同社は、システムを保護するためにさらなる対策を講じる必要があることを認識した。
 
そこで Peach は AWS にソリューションを求め、サイバー攻撃をブロックするだけでなく阻止することで、不要なサービスの速度低下を抑え、顧客の信頼を高めることに成功した。
peach-logo
カスタマーストーリーの全文を読む 
先頭に戻る 
アイコンを作成する
自分でソリューションをデプロイする

よくみられるアーキテクチャ上の問題に関して答えを知るため、AWS ソリューション実装のライブラリを閲覧する。

詳細はこちら 
APN パートナーを見つける
APN パートナーを見つける

サービスの開始をサポートする AWS 認定コンサルティングパートナーとテクノロジーパートナーを見つけましょう。

詳細はこちら 
アイコンについて調べる
ソリューションコンサルティングサービスについて調べる

ソリューションをデプロイし、AWS により審査済みのサポートを受けるため、コンサルティングサービスのポートフォリオを閲覧する。

詳細はこちら