AWSの類似サービスと比較して知るAWS WAF #devio2022

Transcript

1. AWSの類似サービスと⽐較して知る AWS WAF AWS事業本部コンサルティング部 べこみん

2. 2 自己紹介 べこみん (Twitter @beco_minn) • AWS事業本部コンサルティング部 • 興味のあるサービス: AWS

   WAF • 趣味: 猫と遊ぶこと、日本酒を飲むこと

3. 3 このセッションで話すこと AWS WAFの概要 AWS WAFと類似のAWSサービス比較 以下のサービスと比較 ・AWS Network Firewall

   ・Security Group ・Network ACL ・AWS Shield

4. 4 このセッションで話さないこと AWS WAFの具体的な使い方 AWSサービス以外(サードパーティ)のWAF製品について

5. 5 AWS WAFとは

6. 6 AWS WAFとは ・WAF = Web Application Firewall ・Webアプリケーションの脆弱性を利用した 攻撃から、Webアプリケーションを保護する

   マネージドサービス ・複数のルールを組み合わせて使用 ・Amazon CloudFront、ALB、Amazon API Gateway、AWS AppSyncにアタッチして使用

7. 7 そもそも Web Application Firewall とは ・Webアプリケーションを保護することに特化したソフトウェ アまたはハードウェア ・Webアプリケーションへの通信内容を検査し、不正な操作を 検出、防御する

   ・運営者が設定したルールに応じて検査を行う 参考: IPA - Web Application Firewall 読本

8. 8 AWS WAFで検出、防御可能な攻撃 ・決められたキャパシティ内で複数のルールを組み合わせられ る(AWS WAF v2) ・マネージドルールや自分でカスタマイズしたルールを設定 ・ AWSが用意したマネージドルールもある

   参考：AWS - AWS WAF の AWS マネージドルール ・設定したルール次第で、SQLインジェクションやXSSをはじめ、 OWASP Top 10に入ったセキュリティリスク、Botからのアクセ スなどを検出、防御可能

9. 9 AWS WAFと類似のAWSサービス比較

10. 10 VS AWS Network Firewall

11. 11 VS AWS Network Firewall AWS Network Firewall ・VPCサブネットに配置して利用するマネージドサービス ・ただのFWではなく、シグネチャベースのIDS/IPSとしても使

    用可能 ・パケットのペイロードまで見て(DPI)、フィルタリングを行う ・ルールで評価した通信に対してアクションを選択可能

12. 12 VS AWS Network Firewall AWS WAF AWS Network Firewall

    対象のネットワーク レイヤー L7 L3 - L7 主な役割 Webアプリケーションへの通信の 検査、Webアプリケーションの保護 トラフィック検査とフィルタリング 侵入防止 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPCサブネットに配置 （ルーティング変更が必要） AWS Firewall Managerとの連携 可 可 料金 要（従量課金） 要（従量課金）

13. 13 VS Security Group

14. 14 VS Security Group Security Group ・EC2やRDS、ELBなどのネットワークインターフェース(ENI)に アタッチして使用する仮想ファイアウォール ・主に接続元IPアドレスでのアクセス制御を行う ・ルールはステートフル

    ・追加料金は無し

15. 15 VS Security Group AWS WAF Security Group 対象のネットワーク レイヤー

    L7 L3 – L4 主な役割 Webアプリケーションへの通信の検 査、Webアプリケーションの保護 接続元IPアドレスなどでの アクセス制御 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPC内リソースのENIにアタッ チ AWS Firewall Managerとの連携 可 可 料金 要（従量課金） 不要

16. 16 VS Network ACL

17. 17 VS Network ACL Network ACL ・VPCサブネットにアタッチして使用する仮想ファイアウォー ル ・接続元IPアドレスでのアクセス制御を行う ・ルールはステートレス

    ・追加料金は無し

18. 18 VS Network ACL AWS WAF Network ACL 対象のネットワーク レイヤー

    L7 L3 – L4 主な役割 Webアプリケーションへの通信の検 査、Webアプリケーションの保護 接続元IPアドレスでの アクセス制御 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPCサブネットにアタッチ AWS Firewall Managerとの連携 可 不可 料金 要（従量課金） 不要

19. 19 VS AWS Shield

20. 20 VS AWS Shield AWS Shield ・DDoS攻撃からの保護に特化したマネージドサービス ・追加料金無しで使えるStandard ・定額料金(+データ転送料)を支払うことで使用可能な Advanced

    ・Standardに関してはAWSを利用している時点で適用済み

21. 21 VS AWS Shield AWS WAF AWS Shield 対象のネットワーク レイヤー

    L7 L3 - L4 (AdvancedはL7も) 主な役割 Webアプリケーションへの通信の 検査、Webアプリケーションの保護 DDoS攻撃からの保護 構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ CloudFrontやRoute53、 ELBなどを保護 AWS Firewall Managerとの連携 可 可 料金 要（従量課金） 不要 Advancedは要(定額)

22. 22 比較まとめ AWS WAF AWS Network Firewall Security Group Network

    ACL AWS Shield 対象のネットワークレ イヤー L7 L3 - L7 L3 – L4 L3 – L4 L3 - L4 (AdvancedはL7も) 主な役割 Webアプリケーション への通信の検査、 Webアプリケーション の保護 トラフィック検査とフィルタリ ング 侵入防止 接続元IPアドレスなどで の アクセス制御 接続元IPアドレスでの アクセス制御 DDoS攻撃からの保護 構成 CloudFront、ALB、 API Gateway、 AppSyncにアタッチ VPCサブネットに配置 （ルーティング変更が必要） VPC内リソースのENIに アタッチ VPCサブネットにアタッチ CloudFrontやRoute53、 ELBなどを保護 AWS Firewall Managerとの連携 可 可 可 不可 可 料金 要（従量課金） 要（従量課金） 不要 不要 不要 Advancedは要(定額)
23. None