Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS WAF と Datadog ASM で実現するアプリケーションセキュリティ / Sta...
Search
Kento Kimura
PRO
August 26, 2023
Video
Technology
0
2.4k
AWS WAF と Datadog ASM で実現するアプリケーションセキュリティ / Start application security with AWS WAF and Datadog ASM
Security-JAWS【第30回】[Security-JAWS DAYS] ~Day1~
https://s-jaws.doorkeeper.jp/events/155024
Kento Kimura
PRO
August 26, 2023
Tweet
Share
Video
More Decks by Kento Kimura
See All by Kento Kimura
プラットフォームとしての Datadog / Datadog as Platforms
aoto
PRO
1
410
Cloud Run を解剖して コンテナ監視を考える / Breaking Down Cloud Run to Rethink Container Monitoring
aoto
PRO
0
140
Recap of Next - Google Cloud で実践する クラウドネイティブ最前線 / The Frontlines of Cloud-Native with Insights from Google Cloud
aoto
PRO
1
130
AWS で広がるオブザーバビリティの世界 / Do SREs Dream of AWS Observability?
aoto
PRO
0
280
元祖 AIOps! メトリクス異常検知からはじめよう 〜さようなら Lookout for Metrics〜 / The Original AIOps! Let's get started with Metrics Anomaly Detection - Good-bye Lookout for Metrics
aoto
PRO
0
240
Dive Deep in Cloud Run: Automatic Base Image update
aoto
PRO
0
1k
CloudWatch Application Signals と APM の入門 / Introduction to CloudWatch Application Signals and APM
aoto
PRO
2
1.5k
Recap『Platform Engineering 入門: Golden Path の構築と活用』
aoto
PRO
0
1.1k
Two different ways to export AWS CloudWatch Metrics
aoto
PRO
0
1.2k
Other Decks in Technology
See All in Technology
原則から考える保守しやすいComposable関数設計
moriatsushi
3
530
IIWレポートからみるID業界で話題のMCP
fujie
0
770
Oracle Cloud Infrastructure:2025年6月度サービス・アップデート
oracle4engineer
PRO
2
200
mrubyと micro-ROSが繋ぐロボットの世界
kishima
2
110
Wasm元年
askua
0
130
変化する開発、進化する体系時代に適応するソフトウェアエンジニアの知識と考え方(JaSST'25 Kansai)
mizunori
1
200
Fabric + Databricks 2025.6 の最新情報ピックアップ
ryomaru0825
1
120
AWS Summit Japan 2025 Community Stage - App workflow automation by AWS Step Functions
matsuihidetoshi
1
220
Observability infrastructure behind the trillion-messages scale Kafka platform
lycorptech_jp
PRO
0
130
20250623 Findy Lunch LT Brown
3150
0
840
AIのAIによるAIのための出力評価と改善
chocoyama
2
540
Amazon S3標準/ S3 Tables/S3 Express One Zoneを使ったログ分析
shigeruoda
3
450
Featured
See All Featured
Optimising Largest Contentful Paint
csswizardry
37
3.3k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Building Adaptive Systems
keathley
43
2.6k
Thoughts on Productivity
jonyablonski
69
4.7k
Optimizing for Happiness
mojombo
379
70k
Mobile First: as difficult as doing things right
swwweet
223
9.7k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.4k
Six Lessons from altMBA
skipperchong
28
3.8k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
181
53k
Adopting Sorbet at Scale
ufuk
77
9.4k
Automating Front-end Workflow
addyosmani
1370
200k
Transcript
AWS WAF と Datadog ASM で実現する アプリケーションセキュリティ 26th Aug, Security-JAWS
DAYS Kento Kimura
• 職種:Sales Engineer • 担当:パブリッククラウドのアーキテクト知識を活かした Observability の導入技術支援 • 資格:AWS 全
12 資格、Google Cloud 全 11 資格、Azure 13 資格 • 表彰:2022-23 Japan AWS All Certifications Engineer 2023 Japan AWS Jr.Champion Google Cloud Partner Top Engineer 2023 木村 健人 (Kento Kimura) Datadog Japan GK 𝕏 :@AoToLog_ History データセンター運用保守 → パブリッククラウド技術支援 → プリセールス技術支援 Community Jagu’e’r デジクラ人材育成 / o11y-SRE 分科会 運営メンバー AWS Jr.Champions Meetup / JAWS 登壇に挑戦中 Partner Top Engineer 2023 自己紹介
話すこと・話さないこと 話すこと • 多層防御の一側面 • アプリケーションセキュリティの一側面 • AWS WAF と
Datadog ASM の役割 話さないこと • 多層防御の全体像 • アプリケーションセキュリティの全体像 • AWS の包括的なセキュリティ Datadog のセキュリティ製品の全体像には Security-JAWS【第29回】 勉強会 のアーカイブ動画 と資料をご覧ください!→
概要 1 多層防御とAWS W-A Framework 2 アプリケーションセキュリティ 3 AWS WAF
と Datadog ASM 4 AWS アーキテクチャ 5 まとめ
多層防御と AWS W-A Framework
多層防御について NIST(National Institute of Standards and Technology) 人材・テクノロジー・運用能力を統合して、組織の複数の層とミッションにわたって 可変の障壁を確立する情報セキュリティ戦略 IPA
サイバー攻撃を情報システムと外部環境との接続点で防御しきることは不可能であること を前提にセキュリティ対策を組み合わせ、一つの対策が破られても次の対策で防御する、 あるいは防御しきれなくてもインシデントを速やかに検知するといったアプローチ アプリケーション層におけるセキュリティ対策においても、 単一の対策でなく複数の対策を組み合わせることが重要 “ “ “ “
AWS Well-Architected Framework クラウド上でワークロードを設計および実行するための 主要な概念・設計原則・アーキテクチャのベストプラクティス コスト最適化 の柱 パフォーマンス 効率の柱 信頼性の柱
セキュリティの柱 オペレーショナル エクセレンスの柱 持続可能性の柱
AWS Well-Architected Framework Security Pillar 7つの大項目・11の小分類・65のベストプラクティス(2023/4/10版) セキュリティの基礎・ID とアクセス管理・検知・インフラストラクチャ保護・データ保護・インシデント対応・アプリケー ションのセキュリティ インフラストラクチャ保護(Infrastructure
protection) • SEC05-BP02 すべてのレイヤーでトラフィックを制御する アプリケーションのセキュリティ(Application security) • SEC11-BP05 パッケージと依存関係のサービスを一元化する • SEC11-BP08 ワークロードチームにセキュリティのオーナーシップを根付かせるプログラムを構築する
AWS Products for Infrastructure Protection Standard は自動的に組み込まれた DDoS 攻撃を保護するサービス Advanced
は個々のリソースに対し拡張 DDoS 攻撃保護を実現し、高度なイベ ント可視性と SRT の専用サポートが利用可能 AWS Firewall Manager AWS Shield AWS WAF AWS Network Firewall AWS WAF, Amazon VPC SG, AWS Network Firewall などの様々な保護に 利用できる、管理とメンテナンスのタスクを簡素化するサービス Web アプリケーションリソースに転送される HTTP / HTTPS リクエストを監視し、 コンテンツへのアクセスを制御しリソースを保護できるサービス VPC 向けのステートフル/ステートレスなマネージド型 ネットワークファイアウォー ル・IDS/IPS サービス
アプリケーションセキュリティ
アプリケーションセキュリティツール ランタイム保護ツール アプリケーション保護・セキュリティ管理 • WAF(Web Application Firewall) • Bot Management(ボット管理)
• RASP(Runtime Application Self Protection) セキュリティスキャンツール アプリケーションの開発・設計段階のセキュリティ強 化 • DAST(Dynamic Application Security Testing) • IAST(Interactive Application Security Testing) • SAST(Static Application Security Testing) • SCA(Software Composition Analysis) セキュリティ上の問題を検出・修正・防止し、アプリケーションのセキュリティを 向上するためのツール群
インジェクション • SQL インジェクション(SQLi) • OS コマンドインジェクション • コードインジェクション •
クロスサイトスクリプティング(XSS) アクセス制御の不備 • パス(ディレクトリ)トラバーサル • オープンリダイレクト • クロスサイトリクエストフォージェリ(CSRF) 一般的な Web アプリケーション攻撃・脆弱性 参照:「OWASP Top 10 -2021」https://owasp.org/Top10/ja/ + サーバーサイドリクエストフォージェリ(SSRF)
一般的な Cloud WAF の役割 Cloud WAF はWeb アプリケーションへの攻撃や脆弱性に対し、エッジでの防御を行える そのため、リバースプロキシや DDoS
攻撃対策としても利用することができる しかし、全ての攻撃・脆弱性に対処できる完璧な Cloud WAF のルールは存在しない Cloud WAF でルールを厳しくしても誤検知が発生し、ゼロデイ攻撃への対応は困難 特にマイクロサービス化されたシステムは、実際に Web アプリケーションに攻撃が行われているかど うかを把握するためにも、アプリケーションサーバー側でのセキュリティ対策も重要
AWS WAF と Datadog ASM
AWS WAF(Web Application Firewall) Web アプリケーションに到達前の HTTP/HTTPS リクエストをルールベースで制御 • ウェブアクセスコントロールリスト(ウェブ
ACL) ➕ • ルール(グループ) ◦ マネージド:AWS, AWS Marketplace 販売者が提供 ▪ AWS WAF Bot Control:さまざまなカテゴリのボットを検出して処理するマネージドルール ◦ 独自 引用:「AWS WAF」https://aws.amazon.com/jp/waf/
Datadog ASM(Application Security Management) Web アプリケーションに到達したリクエストをコンテキストベースで管理 Datadog ASM のルールに合致したトレースは、Security Signal
として検出 • OOTB ルール • カスタム検出ルール 上記のルールの他に攻撃を試みた痕跡を発見し、監視・ブロックのアクションを行える • In-App WAF ルール ◦ インジェクション攻撃 ◦ 攻撃ツールなどの検知 引用「Datadog における Application Security Management の仕組み」https://docs.datadoghq.com/ja/security/application_security/how-appsec-works/
Datadog ASM In-App WAF Datadog 提供ポリシー OWASP ModSecurity CRS を含む検出ルール
URI/クエリ/パス/Cookie/HTTP body 等を元に検出 ブロック・監視・無効化 攻撃に対し、自動アクションを設定可能 関連するトレースを表示し影響を調査 カスタムルール 既知のアプリケーション攻撃の保護 柔軟なセキュリティポリシーの適用
AWS Cloud エッジとリージョンでの防御① CloudFront Edge location Region Application Load Balancer
Amazon CloudFront Instances Lambda function Container 一般ユーザ 攻撃者 乗っ取り AWS WAF Rule Datadog ASM Protection API Gateway Endpoint
AWS WAF と Datadog ASM の統合 Datadog ASM で発見した攻撃者を、IP アドレスベースで
AWS WAF でブロック Datadog Workflow Automation システムの健全性やセキュリティの問題に対処する自動ワークフローツール データ演算・論理演算子・分岐・決定を含む複雑なワークフローを構築可能 アプリケーションサーバーに到達していた不正なリクエストを、エッジで防御できる
悪意のあるIPを AWS WAF で 自動的にブロック ASM の security signal でトリガー
Datadog ASM の OOTB ルールなどで検知した Security Signals を元に、Workflows をトリガー 攻撃者の IP アドレスを抽出 JavaScript ベースの処理を記述し、 攻撃者の属性情報から IP アドレスを抽出 AWS WAF のルールに追加 抽出された攻撃者の IP アドレスを AWS WAF API を利用して WAF Rule に追加
AWS Cloud エッジとリージョンでの防御② CloudFront Edge location Region Application Load Balancer
Amazon CloudFront Instances Lambda function Container AWS WAF Rule Datadog ASM Threads 一般ユーザ 攻撃者 乗っ取り API Gateway Endpoint Datadog Workflow Automation 追加 トリガー
AWS アーキテクチャ
サーバレスアーキテクチャ AWS Cloud Region Lambda function API Gateway Endpoint Lambda
function Lambda function DynamoDB Standard Access table class ユーザ AWS WAF Rule Datadog ASM Threads
オートスケーリング AWS Cloud Region ユーザ AWS WAF Rule Datadog ASM
Protection Application Load Balancer Instances Instances Instances Amazon RDS instance Auto Scaling group
まとめ
まとめ • 実働環境のアプリケーションセキュリティは Cloud WAF のみで実現できるものではなく、多層防御 の考えに基づいて複数のアプローチを組み合わせることが重要 • Datadog ASM
は Cloud WAF では対処しきれないアプリケーションへの攻撃を検知し、 WAF と連携して堅牢性を高めることができるプロダクト • その他にも ASM を組み込むことで、オープンソースの脆弱性の検知や アプリケーションコードの脆弱性についても管理することができるようになっている • Datadog のセキュリティにご興味があればデモブースまでお越しください
Thank you