この AWS ソリューション実装では、どのようなことが可能ですか?
AWS WAF は、アプリケーションの可用性、セキュリティ侵害、リソースの過剰消費に影響を及ぼす可能性のある一般的な攻撃パターンをブロックする、アプリケーション固有のカスタムルールを迅速に作成できるウェブアプリケーションファイアウォールです。AWS WAF では、セキュリティオートメーションを簡単にする API を介して完全に管理できるため、迅速なルール伝達およびインシデント対応が可能になります。
AWS WAF セキュリティオートメーションソリューションは、AWS CloudFormation を使用して、一般的なウェブベースの攻撃をフィルタリングするように設計された一連の AWS WAF ルールを自動的にデプロイします。ユーザーは、AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) に含まれるルールで定義された、事前設定の保護機能から選択できます。ソリューションがデプロイされると、AWS WAF では、ユーザーの既存の Amazon CloudFront ディストリビューションや Application Load Balancer に対するウェブリクエストの検査を開始し、適宜リクエストをブロックします。
このソリューションの最新バージョンでは、最新の Node.js ランタイムを使用します。バージョン 2.3 は Node.js 8.10 ランタイムを使用します。このランタイムは、2019 年 12 月 31 日にサポートが終了しました。このソリューションの最新バージョンをアップグレードするには、新しいスタックとしてソリューションをデプロイする必要があります。詳細については、デプロイガイドを参照してください。
AWS ソリューション実装の概要
AWS WAF セキュリティオートメーションのソリューションでは、ウェブアプリケーションへのアクセスを試みるリクエストをきめ細かく制御できます。下の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なアーキテクチャを示しています。
設計の中心にあるのは、すべての受信リクエストに対して一元化された検査および決定ポイントとして動作する AWS WAF のウェブ ACL です。選択してアクティブ化した保護機能により、ウェブ ACL に追加されるカスタムルールが決まります。
AWS WAF セキュリティオートメーションのソリューションアーキテクチャ
手動 IP リスト (A およびB): このコンポーネントにより 2 つの特定の AWS WAF ルールが作成され、ブロックまたは許可する IP アドレスを手動で追加できます。
SQL インジェクション (C) および XSS (D): このソリューションにより、URI、クエリ文字列、リクエストボディ内の一般的な SQL インジェクションやクロスサイトスクリプト (XSS) パターンから保護するよう設計された 2 つのネイティブ AWS WAF ルールが設定されます。
HTTP フラッド (E): このコンポーネントは、ウェブレイヤーの DDoS 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量の要求からなる攻撃から保護します。
スキャナーとプローブ (F): このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索し、それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。
IP 評価リスト (G): このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。
悪意のあるボット (H): このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。
AWS WAF セキュリティオートメーション
バージョン 2.3.3
最終更新日: 2020 年 6 月
著者: AWS
見積りデプロイ時間: 15 分
特徴
AWS WAF セキュリティオートメーションのリファレンス実装
WAF ルールの迅速な設定
クロスサイトスクリプト (XSS) 攻撃の特定とブロック
ログ分析
アクティブになると、Athena の実行を調整し、結果の出力を処理し、AWS WAF を更新する Amazon Athena クエリとスケジュールされた AWS Lambda 関数を、AWS CloudFormation がプロビジョニングします。
