2019/02/23 JAWS DAYS 2019 「エンタープライズのオンプレWAFをAWSに移行したらこうなった話」

Transcript

1. エンタープライズのオンプレWAFを AWSに移行したらこうなった話 2019/2/23 株式会社QUICK / 小出 淳二

2. 2 Copyright © 2019 QUICK Corp. All Rights Reserved. 会社紹介

   ［会社名］ 株式会社QUICK ［設立］ 1971年10月1日 ［代表者］ 代表取締役社長 近藤 勝義 ［事業内容］日本経済新聞社グループの金融情報会 社として、世界の証券・金融情報をはじめ、政治・ 経済情報をリアルタイムで配信。資産運用支援、注 文執行業務の支援、情報ネットワーク構築支援サー ビスなど、証券・金融市場に関連する総合的なソ リューションの提供

3. 3 Copyright © 2019 QUICK Corp. All Rights Reserved. 小出

   淳二 ・株式会社QUICK ・サービスプロダクト本部 副本部長 SREチームリーダー ・Fin-JAWS運営 ・AWS認定資格8冠 ・ re:Inventは2015年から 3年連続参加 ・趣味：海外旅行 訪問国は60カ国 昨冬はスリランカ訪問 自己紹介

4. 4 Copyright © 2019 QUICK Corp. All Rights Reserved. アジェンダ

   本日お伝えしたいこと ・AWS上でのWAF構成 ・何でBIG-IP VE ASMなの？ ・AWS WAFは使えないの？ Q&A

5. 5 Copyright © 2019 QUICK Corp. All Rights Reserved. 本日お伝えしたいこと

   ・AWS上でのWAF構成 ・何でBIG-IP VE ASMなの？ ・AWS WAFは使えないの？ Q&A

6. 6 Copyright © 2019 QUICK Corp. All Rights Reserved. 結局こうなりました

7. users VPC Corporate data center TY2 CC 1 Availability zone

   A Availability zone C Public subnet Private subnet (web) Private subnet (DB) Public subnet Private subnet (web) Private subnet (DB) Internet gateway Sync- failover group

8. 8 Copyright © 2019 QUICK Corp. All Rights Reserved. ・BIG-IP

   VE ASMアプライアン スを採用 ・ALBでのサンドイッチ構成 ・Multi-AZのActive-Active スケールアウト構成

9. 9 Copyright © 2019 QUICK Corp. All Rights Reserved. 本日お伝えしたいこと

   ・AWS上でのWAF構成 ・何でBIG-IP VE ASMなの？ ・AWS WAFは使えないの？ Q&A

10. 10 Copyright © 2019 QUICK Corp. All Rights Reserved. ・エンタープライズは誤検知に対する顧客要求レベ

    ルが厳しいので、誤検知になった問い合わせをピン ポイントで対応できることが必須要件 ・F5 ASMはログからシグネチャIDを特定し個別に無 効（透過モード）にする運用が可能 ・SaaS、CloudWAFは高トラフィック（1Gps程 度）だと費用高そう あと24h365dでどこまで対応 できる？（懇親会等で意見交換したい） ・Impervaは自由度が低いので選定外 （2017/10時点 CFのjson編集、構築後の名称変更不 可、バックエンドのELBはCLBのみ）

11. 11 Copyright © 2019 QUICK Corp. All Rights Reserved. F5

    ASMのいいところ ・きちんと運用すればF5 ASMは最高 ・スケールアウト構成も可能 ・結構安定している

12. 12 Copyright © 2019 QUICK Corp. All Rights Reserved. F5

    ASMのイマイチなところ ・高い ・お手軽にボタン一つで導入できるものじゃない ・自前のWAF運用はつらいというか無理 ・ソフトウェアEOSDとの戦い ・メモリリークのバグが多い ・結局AWSに行ってもオンプレと変わらない感 ・BYOL版をパートナーに半強制させられる

13. 13 Copyright © 2019 QUICK Corp. All Rights Reserved. ・F5さん、オンデマンド版で日本語

    によるサポート出来ませんか？

14. 14 Copyright © 2019 QUICK Corp. All Rights Reserved. 本日お伝えしたいこと

    ・AWS上でのWAF構成 ・何でBIG-IP VE ASMなの？ ・AWS WAFは使えないの？ Q&A

15. 15 Copyright © 2019 QUICK Corp. All Rights Reserved. 現時点でエンプラでは使えない。

    だけど結構いいところまで来てる！

16. 16 Copyright © 2019 QUICK Corp. All Rights Reserved. アジェンダ

    何で使えないの？ リクエストのPOSTのメッセージボディが ログに記録されないので、誤検知対応が 難しいから （何がWAFに引っかかってるかが、正確 にわからないため）

17. 17 Copyright © 2019 QUICK Corp. All Rights Reserved. ・2015/10

    re:Invent2015で発表 → 遂に来た、でもCloudFrontだけかよ！ ログもないの？GETだけ！？ ・2016/1 POSTとリクエストボディに対応 → おっ！ ・2016/12 ALBで利用可能に！ → ログが無いから誤検知運用難しいなあ あと自前でルールのメンテは無理

18. 18 Copyright © 2019 QUICK Corp. All Rights Reserved. ・2017/10

    正規表現サポート → おおっ ・2017/11 マネージドルール対応！ → 遂に来た！ ・2017/11 @re:Invent2017 → GMのAndrewとEBC フルログと個別シグネチャの除外よろしく

19. 19 Copyright © 2019 QUICK Corp. All Rights Reserved. ・2018/6

    AWS Summit Tokyo 2018 → GMのAndrewとEBC ごめん、もうすぐフルログくるから！ ・2018/8 フルログ来た！！！ → あれ、POSTのボディがないよ！

20. 20 Copyright © 2019 QUICK Corp. All Rights Reserved. ・2018/12/24

    クリスマスプレゼント [新機能]AWS WAFマネージドルールで誤検知対応 できる例外ルールの設定が可能になりました https://dev.classmethod.jp/cloud/aws/rule -group-exceptions-for-aws-waf-managed-rules/ ※結構いいとこまで来た！ POSTボディのフル ログ取れれば、ピンポイントでマネージドルールの 個別ルールを例外にできる。 F5 Rules for AWS WAF - Web exploits OWASP Rules RuleId 0a429772-75e3-4dd6-b585-5b75108462de,Cross-Site Scripting

21. 21 Copyright © 2019 QUICK Corp. All Rights Reserved. ・AWSさん、WAFフルログにPOST

    のBODYも記録できるよう対応お願 いします！

22. 22 Copyright © 2019 QUICK Corp. All Rights Reserved. 本日お伝えしたいこと

    ・AWS上でのWAF構成 ・何でBIG-IP VE ASMなの？ ・AWS WAFは使えないの？ Q&A

23. 23 Copyright © 2019 QUICK Corp. All Rights Reserved. We

    Are Hiring!!

24. 24 Copyright © 2019 QUICK Corp. All Rights Reserved. Let’s

    work with us! https://corporate.quick.co.jp/recruit/career/ 株式会社QUICKキャリア採用サイトにて、順次、募集職種を公開！ Web系アプリ エンジニア サービスインフラ エンジニア 金融ソリューション サービスコンサルタント API セールスエンジニア 金融ホールセール向け プロダクト企画