Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSの類似サービスと比較して知るAWS WAF #devio2022
Search
becominn
July 25, 2022
Technology
0
3.6k
AWSの類似サービスと比較して知るAWS WAF #devio2022
DevelopersIO 2022の登壇資料です。
動画はこちら↓
https://www.youtube.com/watch?v=f2UcwkGYUMQ
becominn
July 25, 2022
Tweet
Share
More Decks by becominn
See All by becominn
DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey
becominn
1
5.9k
自分のペースで楽しく仲良く継続しよう、という話
becominn
0
72
[FUKUOKA Engineers Day 2024] JAWS-UGでAWSを楽しく学ぼう
becominn
0
110
AWS Security Hub、三日会わざれば刮目して見よ #jawsugfuk #jawsug
becominn
0
710
AWS CloudShellという推しサービスについて / lt-20220502-jawsug-cli
becominn
0
1.9k
Other Decks in Technology
See All in Technology
JAWS DAYS 2026 楽しく学ぼう!ストレージ 入門
yoshiki0705
2
110
新職業『オーケストレーター』誕生 — エージェント10体を同時に回すAgentOps
gunta
4
1.6k
わたしがセキュアにAWSを使えるわけないじゃん、ムリムリ!(※ムリじゃなかった!?)
cmusudakeisuke
1
420
大規模サービスにおける レガシーコードからReactへの移行
magicpod
1
170
楽しく学ぼう!コミュニティ入門 AWSと人が つむいできたストーリー
hiroramos4
PRO
1
160
A Gentle Introduction to Transformers
keio_smilab
PRO
2
920
JAWS Days 2026 楽しく学ぼう! 認証認可 入門/20260307-jaws-days-novice-lane-auth
opelab
9
1.5k
Databricksアシスタントが自分で考えて動く時代に! エージェントモード体験もくもく会
taka_aki
0
350
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
6
72k
生成AIの利用とセキュリティ /gen-ai-and-security
mizutani
1
1.4k
Kaggleの経験が実務にどう活きているか / kaggle_findy
sansan_randd
7
1.2k
【SLO】"多様な期待値" と向き合ってみた
z63d
2
310
Featured
See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3.4k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.1k
Thoughts on Productivity
jonyablonski
75
5.1k
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
230
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
120
Marketing to machines
jonoalderson
1
5k
So, you think you're a good person
axbom
PRO
2
1.9k
The Invisible Side of Design
smashingmag
302
51k
Information Architects: The Missing Link in Design Systems
soysaucechin
0
810
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
140
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
220
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
140
Transcript
AWSの類似サービスと⽐較して知る AWS WAF AWS事業本部コンサルティング部 べこみん
2 自己紹介 べこみん (Twitter @beco_minn) • AWS事業本部コンサルティング部 • 興味のあるサービス: AWS
WAF • 趣味: 猫と遊ぶこと、日本酒を飲むこと
3 このセッションで話すこと AWS WAFの概要 AWS WAFと類似のAWSサービス比較 以下のサービスと比較 ・AWS Network Firewall
・Security Group ・Network ACL ・AWS Shield
4 このセッションで話さないこと AWS WAFの具体的な使い方 AWSサービス以外(サードパーティ)のWAF製品について
5 AWS WAFとは
6 AWS WAFとは ・WAF = Web Application Firewall ・Webアプリケーションの脆弱性を利用した 攻撃から、Webアプリケーションを保護する
マネージドサービス ・複数のルールを組み合わせて使用 ・Amazon CloudFront、ALB、Amazon API Gateway、AWS AppSyncにアタッチして使用
7 そもそも Web Application Firewall とは ・Webアプリケーションを保護することに特化したソフトウェ アまたはハードウェア ・Webアプリケーションへの通信内容を検査し、不正な操作を 検出、防御する
・運営者が設定したルールに応じて検査を行う 参考: IPA - Web Application Firewall 読本
8 AWS WAFで検出、防御可能な攻撃 ・決められたキャパシティ内で複数のルールを組み合わせられ る(AWS WAF v2) ・マネージドルールや自分でカスタマイズしたルールを設定 ・ AWSが用意したマネージドルールもある
参考:AWS - AWS WAF の AWS マネージドルール ・設定したルール次第で、SQLインジェクションやXSSをはじめ、 OWASP Top 10に入ったセキュリティリスク、Botからのアクセ スなどを検出、防御可能
9 AWS WAFと類似のAWSサービス比較
10 VS AWS Network Firewall
11 VS AWS Network Firewall AWS Network Firewall ・VPCサブネットに配置して利用するマネージドサービス ・ただのFWではなく、シグネチャベースのIDS/IPSとしても使
用可能 ・パケットのペイロードまで見て(DPI)、フィルタリングを行う ・ルールで評価した通信に対してアクションを選択可能
12 VS AWS Network Firewall AWS WAF AWS Network Firewall
対象のネットワーク レイヤー L7 L3 - L7 主な役割 Webアプリケーションへの通信の 検査、Webアプリケーションの保護 トラフィック検査とフィルタリング 侵入防止 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPCサブネットに配置 (ルーティング変更が必要) AWS Firewall Managerとの連携 可 可 料金 要(従量課金) 要(従量課金)
13 VS Security Group
14 VS Security Group Security Group ・EC2やRDS、ELBなどのネットワークインターフェース(ENI)に アタッチして使用する仮想ファイアウォール ・主に接続元IPアドレスでのアクセス制御を行う ・ルールはステートフル
・追加料金は無し
15 VS Security Group AWS WAF Security Group 対象のネットワーク レイヤー
L7 L3 – L4 主な役割 Webアプリケーションへの通信の検 査、Webアプリケーションの保護 接続元IPアドレスなどでの アクセス制御 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPC内リソースのENIにアタッ チ AWS Firewall Managerとの連携 可 可 料金 要(従量課金) 不要
16 VS Network ACL
17 VS Network ACL Network ACL ・VPCサブネットにアタッチして使用する仮想ファイアウォー ル ・接続元IPアドレスでのアクセス制御を行う ・ルールはステートレス
・追加料金は無し
18 VS Network ACL AWS WAF Network ACL 対象のネットワーク レイヤー
L7 L3 – L4 主な役割 Webアプリケーションへの通信の検 査、Webアプリケーションの保護 接続元IPアドレスでの アクセス制御 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPCサブネットにアタッチ AWS Firewall Managerとの連携 可 不可 料金 要(従量課金) 不要
19 VS AWS Shield
20 VS AWS Shield AWS Shield ・DDoS攻撃からの保護に特化したマネージドサービス ・追加料金無しで使えるStandard ・定額料金(+データ転送料)を支払うことで使用可能な Advanced
・Standardに関してはAWSを利用している時点で適用済み
21 VS AWS Shield AWS WAF AWS Shield 対象のネットワーク レイヤー
L7 L3 - L4 (AdvancedはL7も) 主な役割 Webアプリケーションへの通信の 検査、Webアプリケーションの保護 DDoS攻撃からの保護 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ CloudFrontやRoute53、 ELBなどを保護 AWS Firewall Managerとの連携 可 可 料金 要(従量課金) 不要 Advancedは要(定額)
22 比較まとめ AWS WAF AWS Network Firewall Security Group Network
ACL AWS Shield 対象のネットワークレ イヤー L7 L3 - L7 L3 – L4 L3 – L4 L3 - L4 (AdvancedはL7も) 主な役割 Webアプリケーション への通信の検査、 Webアプリケーション の保護 トラフィック検査とフィルタリ ング 侵入防止 接続元IPアドレスなどで の アクセス制御 接続元IPアドレスでの アクセス制御 DDoS攻撃からの保護 構成 CloudFront、ALB、 API Gateway、 AppSyncにアタッチ VPCサブネットに配置 (ルーティング変更が必要) VPC内リソースのENIに アタッチ VPCサブネットにアタッチ CloudFrontやRoute53、 ELBなどを保護 AWS Firewall Managerとの連携 可 可 可 不可 可 料金 要(従量課金) 要(従量課金) 不要 不要 不要 Advancedは要(定額)
None
becominn
yoshiki0705
gunta
cmusudakeisuke
magicpod
hiroramos4
keio_smilab
opelab
taka_aki
sansan33
mizutani
sansan_randd
z63d
eileencodes
inesmontani
jonyablonski
reverentgeek
cargoodrich
jonoalderson
axbom
smashingmag
soysaucechin
sabderemane
tamaranovitovic
sarafernandez
