この AWS ソリューション実装では、どのようなことが可能ですか?
バージョン 3.0 以降の AWS WAS セキュリティオートメーションソリューションでは、最新バージョンの AWS WAF (AWS WAFV2) サービス API がサポートされています。AWS WAF Classic を維持する必要がある場合は、このソリューションのバージョン 2.3.3 をデプロイします。
メリット
AWS WAF セキュリティオートメーションのリファレンス実装
クロスサイトスクリプト (XSS) 攻撃の特定とブロック
WAF ルールを素早く設定
ログ分析
-
AWS WAF セキュリティオートメーション
-
WAF Classic 向け AWS WAF セキュリティオートメーション
-
AWS WAF セキュリティオートメーション
-
AWS ソリューション実装の概要
AWS WAF セキュリティオートメーションのソリューションでは、ウェブアプリケーションへのアクセスを試みるリクエストをきめ細かく制御できます。下の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なアーキテクチャを示しています。
設計の中心にあるのは、すべての受信リクエストに対して一元化された検査および決定ポイントとして動作する AWS WAF のウェブ ACL です。選択してアクティブ化した保護機能により、ウェブ ACL に追加されるカスタムルールが決まります。
AWS WAF セキュリティオートメーションのアーキテクチャ
AWS マネージドルール (A): この一連の AWS マネージドコアルールは、さまざまな一般的なアプリケーションの脆弱性やその他の不要なトラフィックの悪用に対する保護を提供します。
手動 IP リスト (B および C): このコンポーネントにより 2 つの特定の AWS WAF ルールが作成され、ブロックまたは許可する IP アドレスを手動で追加できます。
SQL インジェクション (D) および XSS (E): このソリューションにより、URI、クエリ文字列、リクエストボディ内の一般的な SQL インジェクションやクロスサイトスクリプト (XSS) パターンから保護するよう設計された 2 つのネイティブ AWS WAF ルールが設定されます。
HTTP フラッド (F): このコンポーネントは、ウェブレイヤーの DDoS 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量のリクエストで構成される攻撃から保護するのに役立ちます。この機能は、5 分間で 100 未満のリクエストのしきい値をサポートします。
スキャナーとプローブ (G): このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索します。それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。
IP 評価リスト (H): このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティーの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。
悪意のあるボット (I): このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。
AWS WAF セキュリティオートメーション
想定される費用 ソースコード CloudFormation テンプレートバージョン 3.1.0
最終更新日: 2020 年 11 月
著者: AWS予想デプロイ時間: 15 分
-
WAF Classic 向け AWS WAF セキュリティオートメーション
-
AWS ソリューション実装の概要
AWS WAF セキュリティオートメーションのソリューションでは、ウェブアプリケーションへのアクセスを試みるリクエストをきめ細かく制御できます。下の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なアーキテクチャを示しています。
設計の中心にあるのは、すべての受信リクエストに対して一元化された検査および決定ポイントとして動作する AWS WAF のウェブ ACL です。選択してアクティブ化した保護機能により、ウェブ ACL に追加されるカスタムルールが決まります。
WAF Classic 向け AWS WAF セキュリティオートメーションのアーキテクチャ
手動 IP リスト (A およびB): このコンポーネントにより 2 つの特定の AWS WAF ルールが作成され、ブロックまたは許可する IP アドレスを手動で追加できます。
SQL インジェクション (C) および XSS (D): このソリューションにより、URI、クエリ文字列、リクエストボディ内の一般的な SQL インジェクションやクロスサイトスクリプト (XSS) パターンから保護するよう設計された 2 つのネイティブ AWS WAF ルールが設定されます。
HTTP フラッド (E): このコンポーネントは、ウェブレイヤーの DDoS 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量の要求からなる攻撃から保護します。
スキャナーとプローブ (F): このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索し、それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。
IP 評価リスト (G): このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。
悪意のあるボット (H): このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。
WAF Classic 向け AWS WAF セキュリティオートメーション
ソースコード CloudFormation テンプレートバージョン 2.3.3
最終更新日: 2020 年 6 月
著者: AWS見積りデプロイ時間: 15 分
