Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSの類似サービスと比較して知るAWS WAF #devio2022
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
becominn
July 25, 2022
Technology
0
3.5k
AWSの類似サービスと比較して知るAWS WAF #devio2022
DevelopersIO 2022の登壇資料です。
動画はこちら↓
https://www.youtube.com/watch?v=f2UcwkGYUMQ
becominn
July 25, 2022
Tweet
Share
More Decks by becominn
See All by becominn
DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey
becominn
1
5.9k
自分のペースで楽しく仲良く継続しよう、という話
becominn
0
72
[FUKUOKA Engineers Day 2024] JAWS-UGでAWSを楽しく学ぼう
becominn
0
110
AWS Security Hub、三日会わざれば刮目して見よ #jawsugfuk #jawsug
becominn
0
700
AWS CloudShellという推しサービスについて / lt-20220502-jawsug-cli
becominn
0
1.9k
Other Decks in Technology
See All in Technology
コスト削減から「セキュリティと利便性」を担うプラットフォームへ
sansantech
PRO
3
1.5k
~Everything as Codeを諦めない~ 後からCDK
mu7889yoon
3
420
プロポーザルに込める段取り八分
shoheimitani
1
290
22nd ACRi Webinar - NTT Kawahara-san's slide
nao_sumikawa
0
100
プロダクト成長を支える開発基盤とスケールに伴う課題
yuu26
4
1.3k
Embedded SREの終わりを設計する 「なんとなく」から計画的な自立支援へ
sansantech
PRO
3
2.5k
AWS Network Firewall Proxyを触ってみた
nagisa53
1
240
日本の85%が使う公共SaaSは、どう育ったのか
taketakekaho
1
230
コミュニティが変えるキャリアの地平線:コロナ禍新卒入社のエンジニアがAWSコミュニティで見つけた成長の羅針盤
kentosuzuki
0
120
SRE Enabling戦記 - 急成長する組織にSREを浸透させる戦いの歴史
markie1009
0
130
Webhook best practices for rock solid and resilient deployments
glaforge
2
300
OpenShiftでllm-dを動かそう!
jpishikawa
0
120
Featured
See All Featured
How GitHub (no longer) Works
holman
316
140k
Embracing the Ebb and Flow
colly
88
5k
How Software Deployment tools have changed in the past 20 years
geshan
0
32k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
196
71k
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
1
100
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
650
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.3k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
54k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
130
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.7k
Fireside Chat
paigeccino
41
3.8k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
350
Transcript
AWSの類似サービスと⽐較して知る AWS WAF AWS事業本部コンサルティング部 べこみん
2 自己紹介 べこみん (Twitter @beco_minn) • AWS事業本部コンサルティング部 • 興味のあるサービス: AWS
WAF • 趣味: 猫と遊ぶこと、日本酒を飲むこと
3 このセッションで話すこと AWS WAFの概要 AWS WAFと類似のAWSサービス比較 以下のサービスと比較 ・AWS Network Firewall
・Security Group ・Network ACL ・AWS Shield
4 このセッションで話さないこと AWS WAFの具体的な使い方 AWSサービス以外(サードパーティ)のWAF製品について
5 AWS WAFとは
6 AWS WAFとは ・WAF = Web Application Firewall ・Webアプリケーションの脆弱性を利用した 攻撃から、Webアプリケーションを保護する
マネージドサービス ・複数のルールを組み合わせて使用 ・Amazon CloudFront、ALB、Amazon API Gateway、AWS AppSyncにアタッチして使用
7 そもそも Web Application Firewall とは ・Webアプリケーションを保護することに特化したソフトウェ アまたはハードウェア ・Webアプリケーションへの通信内容を検査し、不正な操作を 検出、防御する
・運営者が設定したルールに応じて検査を行う 参考: IPA - Web Application Firewall 読本
8 AWS WAFで検出、防御可能な攻撃 ・決められたキャパシティ内で複数のルールを組み合わせられ る(AWS WAF v2) ・マネージドルールや自分でカスタマイズしたルールを設定 ・ AWSが用意したマネージドルールもある
参考:AWS - AWS WAF の AWS マネージドルール ・設定したルール次第で、SQLインジェクションやXSSをはじめ、 OWASP Top 10に入ったセキュリティリスク、Botからのアクセ スなどを検出、防御可能
9 AWS WAFと類似のAWSサービス比較
10 VS AWS Network Firewall
11 VS AWS Network Firewall AWS Network Firewall ・VPCサブネットに配置して利用するマネージドサービス ・ただのFWではなく、シグネチャベースのIDS/IPSとしても使
用可能 ・パケットのペイロードまで見て(DPI)、フィルタリングを行う ・ルールで評価した通信に対してアクションを選択可能
12 VS AWS Network Firewall AWS WAF AWS Network Firewall
対象のネットワーク レイヤー L7 L3 - L7 主な役割 Webアプリケーションへの通信の 検査、Webアプリケーションの保護 トラフィック検査とフィルタリング 侵入防止 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPCサブネットに配置 (ルーティング変更が必要) AWS Firewall Managerとの連携 可 可 料金 要(従量課金) 要(従量課金)
13 VS Security Group
14 VS Security Group Security Group ・EC2やRDS、ELBなどのネットワークインターフェース(ENI)に アタッチして使用する仮想ファイアウォール ・主に接続元IPアドレスでのアクセス制御を行う ・ルールはステートフル
・追加料金は無し
15 VS Security Group AWS WAF Security Group 対象のネットワーク レイヤー
L7 L3 – L4 主な役割 Webアプリケーションへの通信の検 査、Webアプリケーションの保護 接続元IPアドレスなどでの アクセス制御 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPC内リソースのENIにアタッ チ AWS Firewall Managerとの連携 可 可 料金 要(従量課金) 不要
16 VS Network ACL
17 VS Network ACL Network ACL ・VPCサブネットにアタッチして使用する仮想ファイアウォー ル ・接続元IPアドレスでのアクセス制御を行う ・ルールはステートレス
・追加料金は無し
18 VS Network ACL AWS WAF Network ACL 対象のネットワーク レイヤー
L7 L3 – L4 主な役割 Webアプリケーションへの通信の検 査、Webアプリケーションの保護 接続元IPアドレスでの アクセス制御 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPCサブネットにアタッチ AWS Firewall Managerとの連携 可 不可 料金 要(従量課金) 不要
19 VS AWS Shield
20 VS AWS Shield AWS Shield ・DDoS攻撃からの保護に特化したマネージドサービス ・追加料金無しで使えるStandard ・定額料金(+データ転送料)を支払うことで使用可能な Advanced
・Standardに関してはAWSを利用している時点で適用済み
21 VS AWS Shield AWS WAF AWS Shield 対象のネットワーク レイヤー
L7 L3 - L4 (AdvancedはL7も) 主な役割 Webアプリケーションへの通信の 検査、Webアプリケーションの保護 DDoS攻撃からの保護 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ CloudFrontやRoute53、 ELBなどを保護 AWS Firewall Managerとの連携 可 可 料金 要(従量課金) 不要 Advancedは要(定額)
22 比較まとめ AWS WAF AWS Network Firewall Security Group Network
ACL AWS Shield 対象のネットワークレ イヤー L7 L3 - L7 L3 – L4 L3 – L4 L3 - L4 (AdvancedはL7も) 主な役割 Webアプリケーション への通信の検査、 Webアプリケーション の保護 トラフィック検査とフィルタリ ング 侵入防止 接続元IPアドレスなどで の アクセス制御 接続元IPアドレスでの アクセス制御 DDoS攻撃からの保護 構成 CloudFront、ALB、 API Gateway、 AppSyncにアタッチ VPCサブネットに配置 (ルーティング変更が必要) VPC内リソースのENIに アタッチ VPCサブネットにアタッチ CloudFrontやRoute53、 ELBなどを保護 AWS Firewall Managerとの連携 可 可 可 不可 可 料金 要(従量課金) 要(従量課金) 不要 不要 不要 Advancedは要(定額)
None
becominn
sansantech
mu7889yoon
shoheimitani
nao_sumikawa
yuu26
nagisa53
taketakekaho
kentosuzuki
markie1009
glaforge
jpishikawa
holman
colly
geshan
soudai
retrage
nmsamuel
inesmontani
destraynor
.png){kind=avatar}
helenjbeal
marktimemedia
paigeccino
konakalab
