AWS WAF – ウェブアプリケーションファイアウォール

一般的なウェブエクスプロイトからウェブアプリケーションを守る

AWS WAF は、可用性、セキュリティ侵害、リソースの過剰消費に影響を与えるような、ウェブの脆弱性を利用した一般的な攻撃やボットから、ウェブアプリケーションまたは API を保護するウェブアプリケーションファイアウォールです。AWS WAF では、ボットのトラフィックを制御し、SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成できるため、トラフィックがアプリケーションに到達する方法を制御できます。また、特定のトラフィックパターンをフィルタして取り除くように、ルールをカスタマイズできます。AWS または AWS Marketplace セラーが管理する定義済みのルールセットである、AWS または AWS WAF 用のマネージドルールをすぐに使い始められます。これにより、OWASP Top 10 のようなセキュリティリスクや、リソースを過剰に消費しメトリックスを歪め、ダウンタイムの原因となる自動化ボットに対処できます。これらのルールは、新しい問題が発生すると定期的に更新します。AWS WAF には、セキュリティルールの作成、デプロイ、およびメンテナンスを自動化するために使用できる、完全な機能を備えた API が含まれています。

AWS WAF は、CDN ソリューションの一部として Amazon CloudFront にデプロイでき、EC2 上で動作するウェブサーバーやオリジンサーバーの手前に配置した Application Load Balancer や、REST API を使用するための Amazon API Gateway、または GraphQL API 用の AWS AppSync にデプロイできます。 AWS WAF では、使用した分だけ支払いが発生します。またこの料金は、デプロイするルール数およびアプリケーションが受け取るリクエスト数によって決まります。

利点

ウェブ攻撃に対する俊敏な保護

AWS WAF ルールの伝播と更新には 1 分もかかりません。これにより、問題が発生した場合に環境全体のセキュリティをすばやく更新できます。WAF は、着信トラフィックへの遅延の影響を最小限に抑えながら、ウェブリクエストのあらゆる部分を検査できる数百のルールをサポートしています。AWS WAF は、お客様が作成したルールに基づいてトラフィックをフィルタリングすることにより、ウェブアプリケーションを攻撃から保護します。たとえば、IP アドレス、HTTP ヘッダー、HTTP 本文、または URI ストリングなどのウェブリクエストの一部をフィルタリングできます。これにより、SQL インジェクションやクロスサイトスクリプトなどの一般的な攻撃パターンをブロックできるようになります。 

マネージドルールにより時間を節約する

AWS WAF 用のマネージドルールにより、素早く開始して、ウェブアプリケーションまたは API を一般的な脅威から保護することができます。Open Web Application Security Project (OWASP) の上位10のセキュリティリスク、コンテンツ管理システム (CMS) 固有の脅威、または新しい Common Vulnerabilities and Exposures (CVE) などの問題に対処するルールなど、多くのルールタイプから選択できます。マネージドルールは新しい問題が出現すると自動的に更新されるため、アプリケーションの構築により多くの時間を費やすことができます。

向上したウェブトラフィック可視性

AWS WAF は、ウェブトラフィックに対するほぼリアルタイムの可視性を提供します。これは、Amazon CloudWatch で新しいルールまたはアラートを作成するために使用できます。メトリックの発行方法をきめ細かく制御できるため、ルールレベルからインバウンドトラフィック全体までモニタできます。さらに、AWS WAF は、セキュリティの自動化、分析、または監査の目的で使用するために、検査された各ウェブリクエストの完全なヘッダーデータをキャプチャすることにより、包括的なログを提供します。 

簡単なデプロイとメンテナンス

AWS WAF は簡単にデプロイし、CDN ソリューションの一部として Amazon CloudFront にデプロイしたアプリケーション、すべてのオリジンサーバーの前面に配置した Application Load Balancer、REST API を使用するための Amazon API Gateway、または GraphQL API 用の AWS AppSync のいずれかにデプロイされたアプリケーションを保護できます。 デプロイする追加のソフトウェア、DNS 構成、管理する SSL/TLS 証明書はなく、またリバースプロキシのセットアップの必要性はありません。AWS Firewall Manager の統合により、ルールを一元的に定義して管理し、保護する必要があるすべてのウェブアプリケーション全体で再利用することができます。

ボットの監視、ブロック、リミット制限が簡単に

AWS WAF Bot Control によって、アプリケーションへの一般的で普及しているボットトラフィックの可視性とコントロールが得られます。AWS WAF コンソールでは、ステータスモニターや検索エンジンなどの一般的なボットを監視できます。また、ボットのトラフィックのカテゴリ、ID、およびその他の特性を詳細にリアルタイムに可視化することができます。スクレイパーやスキャナー、クロウラーといった、普及しているボットからのトラフィックをブロックまたはレート制限することができます。AWS Firewall Manager を使用すると、AWS 組織にある複数のアカウントにわたり、ボットコントロールマネージドルールグループをデプロイできます。

アプリケーションの開発方法に統合されたセキュリティ

AWS WAF のすべての機能は、AWS WAF API または AWS マネジメントコンソールのいずれかを使用して設定できます。これにより、DevOps チームがアプリケーションを開発する際のウェブセキュリティを向上させる、アプリケーション固有のルールを定義できるようになります。これは、最初にコードを記述するデベロッパーから、ソフトウェアをデプロイする DevOps エンジニア、そして組織全体でルールのセットを実施するセキュリティ専門家まで、開発チェーンの複数のポイントでウェブセキュリティを実装することを可能にします。 

仕組み

product-page-diagram_APIv2-AWS-WAF_How-it-Works-2x

AWS を開始する

Step 1 - Sign up for an AWS account

AWS アカウントにサインアップする

AWS 無料利用枠をすぐに利用できます。
icon2

10 分間のチュートリアルで学ぶ

簡単なチュートリアルで学習します。
icon3

AWS で構築を開始する

AWS プロジェクトの開始に役立つステップバイステップガイドで構築を開始してください。
構築準備が整いましたか?
AWS WAF の開始方法
ご不明な点がありますか?
お問い合わせ