Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS WAF と Datadog ASM で実現するアプリケーションセキュリティ / Sta...
Search
Kento Kimura
PRO
August 26, 2023
Video
Technology
0
2.4k
AWS WAF と Datadog ASM で実現するアプリケーションセキュリティ / Start application security with AWS WAF and Datadog ASM
Security-JAWS【第30回】[Security-JAWS DAYS] ~Day1~
https://s-jaws.doorkeeper.jp/events/155024
Kento Kimura
PRO
August 26, 2023
Tweet
Share
Video
More Decks by Kento Kimura
See All by Kento Kimura
開発者を支える Internal Developer Portal のイマとコレカラ / To-day and To-morrow of Internal Developer Portals: Supporting Developers
aoto
PRO
1
460
予測から調査へ、AI エージェントで叶える AIOps の未来 / From Prediction to Investigation: The Future of AIOps with AI Agents
aoto
PRO
0
77
オブザーバビリティが広げる AIOps の世界 / The World of AIOps Expanded by Observability
aoto
PRO
0
380
Datadog による AI エージェント オブザーバビリティの最前線 / The Frontlines of AI Agent Observability by Datadog
aoto
PRO
0
39
プラットフォームとしての Datadog / Datadog as Platforms
aoto
PRO
2
560
Cloud Run を解剖して コンテナ監視を考える / Breaking Down Cloud Run to Rethink Container Monitoring
aoto
PRO
0
180
もっと!スタートアップ創業期を支えるオブザーバビリティ基盤のこれまでとこれから / More! The Past and Future of Observability Platforms Supporting Early-Stage Startups
aoto
PRO
0
1
Recap of Next - Google Cloud で実践する クラウドネイティブ最前線 / The Frontlines of Cloud-Native with Insights from Google Cloud
aoto
PRO
1
160
AWS で広がるオブザーバビリティの世界 / Do SREs Dream of AWS Observability?
aoto
PRO
0
310
Other Decks in Technology
See All in Technology
現場で効くClaude Code ─ 最新動向と企業導入
takaakikakei
1
250
自作JSエンジンに推しプロポーザルを実装したい!
sajikix
1
180
「何となくテストする」を卒業するためにプロダクトが動く仕組みを理解しよう
kawabeaver
0
410
Android Audio: Beyond Winning On It
atsushieno
0
850
Django's GeneratedField by example - DjangoCon US 2025
pauloxnet
0
150
roppongirb_20250911
igaiga
1
240
サラリーマンの小遣いで作るtoCサービス - Cloudflare Workersでスケールする開発戦略
shinaps
2
450
S3アクセス制御の設計ポイント
tommy0124
3
200
5年目から始める Vue3 サイト改善 #frontendo
tacck
PRO
3
220
La gouvernance territoriale des données grâce à la plateforme Terreze
bluehats
0
180
CDK CLIで使ってたあの機能、CDK Toolkit Libraryではどうやるの?
smt7174
4
180
なぜテストマネージャの視点が 必要なのか? 〜 一歩先へ進むために 〜
moritamasami
0
220
Featured
See All Featured
The Language of Interfaces
destraynor
161
25k
YesSQL, Process and Tooling at Scale
rocio
173
14k
BBQ
matthewcrist
89
9.8k
Building Applications with DynamoDB
mza
96
6.6k
The Cost Of JavaScript in 2023
addyosmani
53
8.9k
Building a Modern Day E-commerce SEO Strategy
aleyda
43
7.6k
It's Worth the Effort
3n
187
28k
Typedesign – Prime Four
hannesfritz
42
2.8k
Being A Developer After 40
akosma
90
590k
For a Future-Friendly Web
brad_frost
180
9.9k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
6k
The Invisible Side of Design
smashingmag
301
51k
Transcript
AWS WAF と Datadog ASM で実現する アプリケーションセキュリティ 26th Aug, Security-JAWS
DAYS Kento Kimura
• 職種:Sales Engineer • 担当:パブリッククラウドのアーキテクト知識を活かした Observability の導入技術支援 • 資格:AWS 全
12 資格、Google Cloud 全 11 資格、Azure 13 資格 • 表彰:2022-23 Japan AWS All Certifications Engineer 2023 Japan AWS Jr.Champion Google Cloud Partner Top Engineer 2023 木村 健人 (Kento Kimura) Datadog Japan GK 𝕏 :@AoToLog_ History データセンター運用保守 → パブリッククラウド技術支援 → プリセールス技術支援 Community Jagu’e’r デジクラ人材育成 / o11y-SRE 分科会 運営メンバー AWS Jr.Champions Meetup / JAWS 登壇に挑戦中 Partner Top Engineer 2023 自己紹介
話すこと・話さないこと 話すこと • 多層防御の一側面 • アプリケーションセキュリティの一側面 • AWS WAF と
Datadog ASM の役割 話さないこと • 多層防御の全体像 • アプリケーションセキュリティの全体像 • AWS の包括的なセキュリティ Datadog のセキュリティ製品の全体像には Security-JAWS【第29回】 勉強会 のアーカイブ動画 と資料をご覧ください!→
概要 1 多層防御とAWS W-A Framework 2 アプリケーションセキュリティ 3 AWS WAF
と Datadog ASM 4 AWS アーキテクチャ 5 まとめ
多層防御と AWS W-A Framework
多層防御について NIST(National Institute of Standards and Technology) 人材・テクノロジー・運用能力を統合して、組織の複数の層とミッションにわたって 可変の障壁を確立する情報セキュリティ戦略 IPA
サイバー攻撃を情報システムと外部環境との接続点で防御しきることは不可能であること を前提にセキュリティ対策を組み合わせ、一つの対策が破られても次の対策で防御する、 あるいは防御しきれなくてもインシデントを速やかに検知するといったアプローチ アプリケーション層におけるセキュリティ対策においても、 単一の対策でなく複数の対策を組み合わせることが重要 “ “ “ “
AWS Well-Architected Framework クラウド上でワークロードを設計および実行するための 主要な概念・設計原則・アーキテクチャのベストプラクティス コスト最適化 の柱 パフォーマンス 効率の柱 信頼性の柱
セキュリティの柱 オペレーショナル エクセレンスの柱 持続可能性の柱
AWS Well-Architected Framework Security Pillar 7つの大項目・11の小分類・65のベストプラクティス(2023/4/10版) セキュリティの基礎・ID とアクセス管理・検知・インフラストラクチャ保護・データ保護・インシデント対応・アプリケー ションのセキュリティ インフラストラクチャ保護(Infrastructure
protection) • SEC05-BP02 すべてのレイヤーでトラフィックを制御する アプリケーションのセキュリティ(Application security) • SEC11-BP05 パッケージと依存関係のサービスを一元化する • SEC11-BP08 ワークロードチームにセキュリティのオーナーシップを根付かせるプログラムを構築する
AWS Products for Infrastructure Protection Standard は自動的に組み込まれた DDoS 攻撃を保護するサービス Advanced
は個々のリソースに対し拡張 DDoS 攻撃保護を実現し、高度なイベ ント可視性と SRT の専用サポートが利用可能 AWS Firewall Manager AWS Shield AWS WAF AWS Network Firewall AWS WAF, Amazon VPC SG, AWS Network Firewall などの様々な保護に 利用できる、管理とメンテナンスのタスクを簡素化するサービス Web アプリケーションリソースに転送される HTTP / HTTPS リクエストを監視し、 コンテンツへのアクセスを制御しリソースを保護できるサービス VPC 向けのステートフル/ステートレスなマネージド型 ネットワークファイアウォー ル・IDS/IPS サービス
アプリケーションセキュリティ
アプリケーションセキュリティツール ランタイム保護ツール アプリケーション保護・セキュリティ管理 • WAF(Web Application Firewall) • Bot Management(ボット管理)
• RASP(Runtime Application Self Protection) セキュリティスキャンツール アプリケーションの開発・設計段階のセキュリティ強 化 • DAST(Dynamic Application Security Testing) • IAST(Interactive Application Security Testing) • SAST(Static Application Security Testing) • SCA(Software Composition Analysis) セキュリティ上の問題を検出・修正・防止し、アプリケーションのセキュリティを 向上するためのツール群
インジェクション • SQL インジェクション(SQLi) • OS コマンドインジェクション • コードインジェクション •
クロスサイトスクリプティング(XSS) アクセス制御の不備 • パス(ディレクトリ)トラバーサル • オープンリダイレクト • クロスサイトリクエストフォージェリ(CSRF) 一般的な Web アプリケーション攻撃・脆弱性 参照:「OWASP Top 10 -2021」https://owasp.org/Top10/ja/ + サーバーサイドリクエストフォージェリ(SSRF)
一般的な Cloud WAF の役割 Cloud WAF はWeb アプリケーションへの攻撃や脆弱性に対し、エッジでの防御を行える そのため、リバースプロキシや DDoS
攻撃対策としても利用することができる しかし、全ての攻撃・脆弱性に対処できる完璧な Cloud WAF のルールは存在しない Cloud WAF でルールを厳しくしても誤検知が発生し、ゼロデイ攻撃への対応は困難 特にマイクロサービス化されたシステムは、実際に Web アプリケーションに攻撃が行われているかど うかを把握するためにも、アプリケーションサーバー側でのセキュリティ対策も重要
AWS WAF と Datadog ASM
AWS WAF(Web Application Firewall) Web アプリケーションに到達前の HTTP/HTTPS リクエストをルールベースで制御 • ウェブアクセスコントロールリスト(ウェブ
ACL) ➕ • ルール(グループ) ◦ マネージド:AWS, AWS Marketplace 販売者が提供 ▪ AWS WAF Bot Control:さまざまなカテゴリのボットを検出して処理するマネージドルール ◦ 独自 引用:「AWS WAF」https://aws.amazon.com/jp/waf/
Datadog ASM(Application Security Management) Web アプリケーションに到達したリクエストをコンテキストベースで管理 Datadog ASM のルールに合致したトレースは、Security Signal
として検出 • OOTB ルール • カスタム検出ルール 上記のルールの他に攻撃を試みた痕跡を発見し、監視・ブロックのアクションを行える • In-App WAF ルール ◦ インジェクション攻撃 ◦ 攻撃ツールなどの検知 引用「Datadog における Application Security Management の仕組み」https://docs.datadoghq.com/ja/security/application_security/how-appsec-works/
Datadog ASM In-App WAF Datadog 提供ポリシー OWASP ModSecurity CRS を含む検出ルール
URI/クエリ/パス/Cookie/HTTP body 等を元に検出 ブロック・監視・無効化 攻撃に対し、自動アクションを設定可能 関連するトレースを表示し影響を調査 カスタムルール 既知のアプリケーション攻撃の保護 柔軟なセキュリティポリシーの適用
AWS Cloud エッジとリージョンでの防御① CloudFront Edge location Region Application Load Balancer
Amazon CloudFront Instances Lambda function Container 一般ユーザ 攻撃者 乗っ取り AWS WAF Rule Datadog ASM Protection API Gateway Endpoint
AWS WAF と Datadog ASM の統合 Datadog ASM で発見した攻撃者を、IP アドレスベースで
AWS WAF でブロック Datadog Workflow Automation システムの健全性やセキュリティの問題に対処する自動ワークフローツール データ演算・論理演算子・分岐・決定を含む複雑なワークフローを構築可能 アプリケーションサーバーに到達していた不正なリクエストを、エッジで防御できる
悪意のあるIPを AWS WAF で 自動的にブロック ASM の security signal でトリガー
Datadog ASM の OOTB ルールなどで検知した Security Signals を元に、Workflows をトリガー 攻撃者の IP アドレスを抽出 JavaScript ベースの処理を記述し、 攻撃者の属性情報から IP アドレスを抽出 AWS WAF のルールに追加 抽出された攻撃者の IP アドレスを AWS WAF API を利用して WAF Rule に追加
AWS Cloud エッジとリージョンでの防御② CloudFront Edge location Region Application Load Balancer
Amazon CloudFront Instances Lambda function Container AWS WAF Rule Datadog ASM Threads 一般ユーザ 攻撃者 乗っ取り API Gateway Endpoint Datadog Workflow Automation 追加 トリガー
AWS アーキテクチャ
サーバレスアーキテクチャ AWS Cloud Region Lambda function API Gateway Endpoint Lambda
function Lambda function DynamoDB Standard Access table class ユーザ AWS WAF Rule Datadog ASM Threads
オートスケーリング AWS Cloud Region ユーザ AWS WAF Rule Datadog ASM
Protection Application Load Balancer Instances Instances Instances Amazon RDS instance Auto Scaling group
まとめ
まとめ • 実働環境のアプリケーションセキュリティは Cloud WAF のみで実現できるものではなく、多層防御 の考えに基づいて複数のアプローチを組み合わせることが重要 • Datadog ASM
は Cloud WAF では対処しきれないアプリケーションへの攻撃を検知し、 WAF と連携して堅牢性を高めることができるプロダクト • その他にも ASM を組み込むことで、オープンソースの脆弱性の検知や アプリケーションコードの脆弱性についても管理することができるようになっている • Datadog のセキュリティにご興味があればデモブースまでお越しください
Thank you