概要
AWS WAF を使用することで、攻撃パターンをブロックするための、カスタムでアプリケーションに固有のルールを作成できます。これにより、アプリケーションの可用性とリソースの安全性を確保し、過剰なリソースの消費を防ぐことができます。
AWS WAF のセキュリティオートメーションソリューションでは、最新バージョンの AWS WAF (AWS WAFV2) サービス API がサポートされています。
利点
このソリューションにより、2 つのネイティブ AWS WAF ルールが設定されます。これらのルールは統一資源識別子 (URI) やクエリ文字列、あるいはリクエストボディ内にある、一般的な SQL インジェクションや XSS パターンからの保護用に設計されています。
AWS CloudFormation テンプレートにより、最初のデプロイ時に使用を選択した AWS WAF の設定と保護機能が、自動的に起動および設定されます。
アクティブになると、Athena の実行を調整し、結果の出力を処理し、AWS WAF を更新する Amazon Athena クエリとスケジュールされた AWS Lambda 関数を、AWS CloudFormation がプロビジョニングします。
技術的な詳細情報
AWS WAF のセキュリティオートメーションのソリューションでは、ウェブアプリケーションへのアクセスを試みるリクエストをきめ細かく制御できます。次の図は、ソリューション実装ガイドと付属の AWS CloudFormation テンプレートを使用して構築することが可能なアーキテクチャを示しています。
設計の中心にあるのは、すべての受信リクエストに対して一元化された検査および決定ポイントとして動作する AWS WAF のウェブ ACL です。選択してアクティブ化した保護機能により、ウェブ ACL に追加されるカスタムルールが決まります。
A.AWS のマネージドルール
この一連の AWS マネージドコアルールは、さまざまな一般的なアプリケーションの脆弱性やその他の不要なトラフィックの悪用に対する保護を提供します。
B. および C. 手動 IP リスト
このコンポーネントにより 2 つの特定の AWS WAF ルールが作成され、ブロックまたは許可する IP アドレスを手動で追加できます。IP 保持を設定しこれらの IP リストから期限切れの IP アドレスを削除することもできます。
D. および E. SQL インジェクションおよび XSS
このソリューションにより、2 つのネイティブ AWS WAF ルールが設定されます。これらのルールは URI やクエリ文字列、あるいはリクエストボディ内にある、一般的な SQL インジェクションや XSS パターンからの保護用に設計されています。
F.HTTP フラッド
このコンポーネントは、ウェブレイヤーの分散型サービス妨害 (DDoS) 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量のリクエストで構成される攻撃から保護するのに役立ちます。この機能は、5 分間に 100 未満のリクエストの閾値をサポートします。
G.スキャナーとプローブ
このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索します。それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。
H.IP レピュテーションリスト
このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティーの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。
I.悪質なボット
このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。
A.AWS のマネージドルール
この一連の AWS マネージドコアルールは、さまざまな一般的なアプリケーションの脆弱性やその他の不要なトラフィックの悪用に対する保護を提供します。
B. および C. 手動 IP リスト
このコンポーネントにより 2 つの特定の AWS WAF ルールが作成され、ブロックまたは許可する IP アドレスを手動で追加できます。IP 保持を設定しこれらの IP リストから期限切れの IP アドレスを削除することもできます。
D. および E. SQL インジェクションおよび XSS
このソリューションにより、2 つのネイティブ AWS WAF ルールが設定されます。これらのルールは URI やクエリ文字列、あるいはリクエストボディ内にある、一般的な SQL インジェクションや XSS パターンからの保護用に設計されています。
F.HTPP フラッド
このコンポーネントは、ウェブレイヤーの分散型サービス妨害 (DDoS) 攻撃や総当たりのログインの試行など、特定の IP アドレスからの大量のリクエストで構成される攻撃から保護するのに役立ちます。この機能は、5 分間に 100 未満のリクエストの閾値をサポートします。
G.スキャナーとプローブ
このコンポーネントは、アプリケーションアクセスログを解析して、オリジンによって生成された異常な量のエラーなどの疑わしい動作を検索します。それらの疑わしいソースの IP アドレスをお客様が定義した期間ブロックします。
H.IP レピュテーションリスト
このコンポーネントは、ブロックする新しい範囲について、毎時サードパーティーの IP 評価リストをチェックする IP リストパーサー AWS Lambda 関数です。
I.悪質なボット
このコンポーネントは、試みられた攻撃をおびき寄せることを目的としたセキュリティメカニズムであるハニーポットを自動的に設定します。
関連コンテンツ
このコースでは、AWS のセキュリティテクノロジー、ユースケース、メリット、およびサービスの概要について説明します。インフラストラクチャ保護セクションでは、トラフィックフィルタリング用の AWS WAF について説明します。
Amazon Macie は、機械学習によって AWS 内の機密データを自動的に検出、分類、保護するセキュリティサービスです。このコースでは、Amazon Macie、同サービスの仕組み、およびサービスを推進する基本的な概念を紹介します。
この試験は AWS プラットフォームのセキュリティ強化における技術的専門知識の試験です。熟練したセキュリティ担当者が対象です。
そこで Peach は AWS にソリューションを求め、サイバー攻撃をブロックするだけでなく阻止することで、不要なサービスの速度低下を抑え、顧客の信頼を高めることに成功した。