WAF(Web アプリケーションファイアウォール) の特徴やメリットをはじめ、AWS WAF の活用例についてご紹介します。
WAF(Web アプリケーションファイアウォール)とは、Web アプリケーションの通信をフィルター、監視、ブロックするためのソフトウェアまたは、ハードウェアのセキュリティ対策です。一般のファイアウォールや IDS/IPS との違いは、アプリケーションレベルで通信の中身を解析し、特定の条件にマッチする通信を検知・遮断する点です。WAF の代表的な用途には、SQL インジェクション、クロスサイトスクリプティングなど、アプリケーションの脆弱性を悪用した攻撃の遮断やアプリケーション層の DDoS 対策、不正なボットによるアクセスの遮断などがあります。
AWS WAF は、Amazon CloudFront、Application Load Balancer (ALB) 上で動作する AWS の提供するクラウド型 WAF のサービスで、SQL インジェクションなどの一般的な攻撃を検知するルール、様々なマッチ条件によるフィルター、IP リスト、レートコントロールなどの機能で不正な通信の検知・遮断ができます。AWS WAF を使用することで、セキュリティ、可用性、パフォーマンスの脅威となる様々な脆弱性や危険から Web サイトやアプリケーションを守ることができます。
AWS WAF は、クラウドのサービスとして提供することで、従来のソフトウェア型や、ハードウェア アプライアンス型の WAF にはない、様々なメリット、特徴があります。
標準提供のルール、カスタムルールのマッチ条件、レートコントロール、API などを使って幅広い脅威から Web アプリケーションを守ることができます。設定ガイド、ホワイトペーパー、AWS CloudFormation の設定テンプレートなどの数多くのリソースも活用いただけます。
AWS WAF を Amazon CloudFront 上で展開することで、CDN(コンテンツ配信ネットワーク)の高い可用性と拡張性を兼ね備えた WAF のソリューションが実現可能になります。Amazon CloudFront は、Web のトラフィック量に合わせて自動的にスケールアウトするため、大規模なサイトの防御や DDoS 対策にも適しています。物理的なアプライアンスやソリューションにあるような、ハードウェア性能やネットワーク回線のキャパシティを気にする必要はありません。
AWS WAF はクラウドサービスのため、ハードウェア、ソフトウェア、インフラなどの初期投資は一切不要です。また利用料は、ルールの数とリクエスト数に基づく従量課金のため、WAF の導入と運用のコストを大幅に削減することができます。
Amazon CloudFront または、Application Load Balancer 上で WAF を有効にするだけで利用可能なため、ソフトウェアのインストールやハードウェアの導入が不要になります。また、WAF の設定とルールの変更は、数分で世界中のエッジロケーションと AWS リージョンに素早く展開されるため、突然の攻撃にも素早く対応ができます。
AWS WAF は、API を使った設定やルールの変更/管理が可能で、新しいリソースへ WAF を素早く展開することができます。また、ログの解析や背後にある IDS/IPS などと連携し、IP アドレスやヘッダーなどの不正なエンドポイントの検知条件を WAF のルールに API 経由でアップデートさせることで、運用のオートメーションを図ることができます。
標準提供される SQL インジェクション、クロスサイトスクリプティングのルールやカスタムルールの作成を通して、脆弱性を悪用した通信から Web アプリケーションを守ることができます。また OWASP Top10 などの脅威から Web サイトを守るためのテンプレート、設定ガイド、ホワイトペーパーなどのリソースもご利用いただけます。
一定期間のリクエスト数の閾値に基づいたレートベースルールやマッチ条件などを利用して、アプリケーション層の DDoS 攻撃を検知・遮断できます。また AWS Shield Advanced と併用して利用することで AWS の DDoS 対策の専任チームからの緩和策設置の支援を受けることもできます。
Amazon CloudFront のログ解析、API を使ったハニーポットなどの設置で不正なボットのアクセスを自動検知し、AWS WAF でアクセスを遮断することができます。また、カスタムルールのマッチ条件でリファラーなどのチェックを行い、ディープリンクなどで画像などのコンテンツの URL が無断掲載されたサイトからのアクセスも遮断できます。
Tor exit node list、Spamhaus、Proofpoint Emerging Threat IP list など、外部のIPレピューテーションリストを API 経由で AWS WAF の IP ブラックリストにインポートし、定期的な更新を自動化できます。