*重要: WAF Classic 向け AWS WAF セキュリティオートメーションは、2022 年 1 月 17 日に非推奨となり、追加の機能はありません。最新の機能やアップデートについては、最新の WAFV2 に対応している AWS WAF セキュリティオートメーション をご利用いただくことをお客様にお勧めします。
この AWS ソリューション実装では、どのようなことが可能ですか?
バージョン 3.0 以降の AWS WAS セキュリティオートメーションソリューションでは、最新バージョンの AWS WAF (AWS WAFV2) サービス API がサポートされています。AWS WAF Classic を維持する必要がある場合は、このソリューションのバージョン 2.3.3 をデプロイします。
メリット
開封してすぐに使える AWS WAF セキュリティオートメーションソリューションとして利用するか、独自の WAF ルールセットを構築するためのリファレンス実装として使用します。
このソリューションにより、2 つのネイティブ AWS WAF ルールが設定されます。これらのルールは URI やクエリ文字列、あるいはリクエストボディ内にある、一般的な SQL インジェクションや XSS パターンからの保護用に設計されています。
AWS CloudFormation テンプレートにより、最初のデプロイ時に使用を選択した AWS WAF の設定と保護機能が、自動的に起動および設定されます。
アクティブになると、Athena の実行を調整し、結果の出力を処理し、AWS WAF を更新する Amazon Athena クエリとスケジュールされた AWS Lambda 関数を、AWS CloudFormation がプロビジョニングします。
-
AWS WAF セキュリティオートメーション
-
*WAF Classic 向け AWS WAF セキュリティオートメーション
-
AWS WAF セキュリティオートメーション
-
AWS ソリューション実装の概要
AWS WAF セキュリティオートメーションのソリューションでは、ウェブアプリケーションへのアクセスを試みるリクエストをきめ細かく制御できます。下の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なアーキテクチャを示しています。
設計の中心にあるのは、すべての受信リクエストに対して一元化された検査および決定ポイントとして動作する AWS WAF のウェブ ACL です。選択してアクティブ化した保護機能により、ウェブ ACL に追加されるカスタムルールが決まります。
AWS WAF セキュリティオートメーションのアーキテクチャ
AWS マネージドルール (A): この一連の AWS マネージドコアルールは、さまざまな一般的なアプリケーションの脆弱性やその他の不要なトラフィックの悪用に対する保護を提供します。
手動 IP リスト (B および C): このコンポーネントにより 2 つの特定の AWS WAF ルールが作成され、ブロックまたは許可する IP アドレスを手動で追加できます。IP 保持を設定しこれらの IP リストから期限切れの IP アドレスを削除することもできます。
SQL インジェクション (D) および XSS (E): このソリューションにより、URI、クエリ文字列、リクエストボディ内の一般的な SQL インジェクションやクロスサイトスクリプト (XSS) パターンから保護するよう設計された 2 つのネイティブ AWS WAF ルールが設定されます。
HTTP フラッド (F): このコンポーネントは、ウェブレイヤーの DDoS 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量のリクエストで構成される攻撃から保護するのに役立ちます。この機能は、5 分間で 100 未満のリクエストのしきい値をサポートします。
スキャナーとプローブ (G): このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索します。それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。
IP 評価リスト (H): このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティーの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。
悪意のあるボット (I): このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。
AWS WAF セキュリティオートメーション
想定される費用 ソースコード CloudFormation テンプレートバージョン 3.2.0
最終更新日: 2021 年 9 月
作成者: AWS予想デプロイ時間: 15 分
-
*WAF Classic 向け AWS WAF セキュリティオートメーション
-
AWS ソリューション実装の概要
AWS WAF セキュリティオートメーションのソリューションでは、ウェブアプリケーションへのアクセスを試みるリクエストをきめ細かく制御できます。下の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なアーキテクチャを示しています。
設計の中心にあるのは、すべての受信リクエストに対して一元化された検査および決定ポイントとして動作する AWS WAF のウェブ ACL です。選択してアクティブ化した保護機能により、ウェブ ACL に追加されるカスタムルールが決まります。
WAF Classic 向け AWS WAF セキュリティオートメーションのアーキテクチャ
手動 IP リスト (A およびB): このコンポーネントにより 2 つの特定の AWS WAF ルールが作成され、ブロックまたは許可する IP アドレスを手動で追加できます。
SQL インジェクション (C) および XSS (D): このソリューションにより、URI、クエリ文字列、リクエストボディ内の一般的な SQL インジェクションやクロスサイトスクリプト (XSS) パターンから保護するよう設計された 2 つのネイティブ AWS WAF ルールが設定されます。
HTTP フラッド (E): このコンポーネントは、ウェブレイヤーの DDoS 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量の要求からなる攻撃から保護します。
スキャナーとプローブ (F): このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索し、それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。
IP 評価リスト (G): このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。
悪意のあるボット (H): このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。
WAF Classic 向け AWS WAF セキュリティオートメーション
ソースコード CloudFormation テンプレートバージョン 2.3.3
最終更新日: 2020 年 6 月
著者: AWS見積りデプロイ時間: 15 分
