Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
課金体系を紐解いて学ぶAWS WAF
Search
mai miya
October 23, 2024
Technology
2
200
課金体系を紐解いて学ぶAWS WAF
2024/10/23 【AWS】AWS10分LT会 - vol.5
https://aws-likers.connpass.com/event/330782/
mai miya
October 23, 2024
Tweet
Share
More Decks by mai miya
See All by mai miya
組織とセキュリティ文化と、自分の一歩
maimyyym
3
1.4k
大規模サーバーレスプロジェクトのリアルな零れ話
maimyyym
3
320
ABWG2024採択者が語るエンジニアとしての自分自身の見つけ方〜発信して、つながって、世界を広げていく〜
maimyyym
1
440
re:Invent2024で広がった AWS Verified Accessの可能性を探る
maimyyym
1
140
“自分”を大切に、フラットに。キャリアチェンジしてからの一年 三ヶ月で見えたもの。
maimyyym
0
420
IAM JSON ポリシーと仲良くなろう
maimyyym
3
120
2年目エンジニアが過ごしたre:Invent、私にできる明日からのEverything starts with security
maimyyym
0
130
"とにかくやってみる"で始めるAWS Security Hub
maimyyym
2
410
AWS Well-Architected Framework をみんなで読んでいる話
maimyyym
1
110
Other Decks in Technology
See All in Technology
Oracle Audit Vault and Database Firewall 20 概要
oracle4engineer
PRO
3
1.7k
Fabric + Databricks 2025.6 の最新情報ピックアップ
ryomaru0825
1
150
登壇ネタの見つけ方 / How to find talk topics
pinkumohikan
5
550
KubeCon + CloudNativeCon Japan 2025 Recap Opening & Choose Your Own Adventureシリーズまとめ
mmmatsuda
0
210
Node-RED × MCP 勉強会 vol.1
1ftseabass
PRO
0
170
rubygem開発で鍛える設計力
joker1007
2
230
Microsoft Build 2025 技術/製品動向 for Microsoft Startup Tech Community
torumakabe
2
320
TechLION vol.41~MySQLユーザ会のほうから来ました / techlion41_mysql
sakaik
0
200
フィンテック養成勉強会#54
finengine
0
180
20250625 Snowflake Summit 2025活用事例 レポート / Nowcast Snowflake Summit 2025 Case Study Report
kkuv
1
340
Yamla: Rustでつくるリアルタイム性を追求した機械学習基盤 / Yamla: A Rust-Based Machine Learning Platform Pursuing Real-Time Capabilities
lycorptech_jp
PRO
4
150
怖くない!はじめてのClaude Code
shinya337
0
240
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
524
40k
How STYLIGHT went responsive
nonsquared
100
5.6k
Writing Fast Ruby
sferik
628
62k
Visualization
eitanlees
146
16k
Music & Morning Musume
bryan
46
6.6k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
48
5.4k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
35
2.4k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
KATA
mclloyd
30
14k
Optimising Largest Contentful Paint
csswizardry
37
3.3k
GraphQLとの向き合い方2022年版
quramy
49
14k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.5k
Transcript
©Fusic Co., Ltd. 0 課⾦体系 を紐解いて学ぶ AWS WAF 2024.10.23 Mai
Miyazaki @maimyyym 【AWS】AWS10分LT会 - vol.5
©Fusic Co., Ltd. 1 宮崎 真⾐ Miyazaki Mai HN: mai
(@maimyyym ) ◉ I am - 管理栄養⼠(養成校卒業・資格保持のみ) - 元百貨店スタッフ(Beauty Counselor) - 2023年10⽉ Fusic⼊社 ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) ◉ Comment - AWS10分LT会の登壇は2回⽬です! (2⽉のvol.3でお話しました) ⾃⼰紹介 はじめに 事業本部 技術創造部⾨ / エンジニア 株式会社Fusic at 福岡
©Fusic Co., Ltd. 2 CONTENTS ⽬次 1. AWS WAFとは 2.
課⾦対象の基本要素 3. 料⾦を計算してみる 4. もう⼀つの課⾦要素・WCUs 5. まとめ
©Fusic Co., Ltd. 3 AWS WAFとは そもそもWAFとは? / AWS WAFについて
/ 話すこと・話さないこと 1
©Fusic Co., Ltd. 4 そもそもWAFとは? AWS WAFとは WAF = Web
Application Firewall https://aws.amazon.com/jp/waf/what-is-waf/ Web アプリケーションの通信をフィルター、監視、 ブロックするためのソフトウェアまたは、ハードウェア のセキュリティ対策です。
©Fusic Co., Ltd. 5 そもそもWAFとは? AWS WAFとは WAF = Web
Application Firewall XSS DDoS 不正なbot SQLインジェクション Webアプリケーションの 脆弱性を悪⽤ アプリケーション層を 狙った攻撃 Webアプリケーション WAF
©Fusic Co., Ltd. 6 AWS WAFについて AWS WAFとは AWS が提供するクラウド型
WAF のサービス AWS WAFとは • SQL インジェクションなどの ⼀般的な攻撃を検知するルール • 様々なマッチ条件によるフィルター • IP リスト • レートコントロール などの機能で不正な通信の検知・遮断を⾏う
©Fusic Co., Ltd. 7 AWS WAFについて AWS WAFとは AWS WAFの始め⽅
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/getting-started.html WebACLを作成 ルール・ルールグループを 作成・WebACLに追加 WebACLを リソースに関連付け
©Fusic Co., Ltd. 8 AWS WAFについて AWS WAFとは WebACLを関連付けることでリソースを保護 AWS
WAFによるリソース保護 https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/how-aws-waf-works-resources.html [グローバルリソース] • CloudFrontディストリビューション [リージョナルリソース] • Amazon API Gateway REST API • Application Load Balancer • AWS AppSync GraphQL API • Amazon Cognito ユーザープール • AWS App Runner サービス • AWS Verified Accessインスタンス
©Fusic Co., Ltd. 9 AWS WAFについて AWS WAFとは AWS WAFによるリソース保護
使い⽅はなんとなく分かった。 できることもなんとなく分かった。 …でも、課⾦体系がよく分からない! WebACL ルール ルールグループ
©Fusic Co., Ltd. 10 話すこと・話さないこと AWS WAFとは 話すこと AWS WAFの課⾦にまつわる基本的な要素について
話さないこと AWS WAFの設定・構築⽅法とベストプラクティス 課⾦単位より細かなコンポーネントについて (※ステートメントやルールタイプなど)
©Fusic Co., Ltd. 11 課⾦対象の基本要素 基本の3要素 / WebACL / 独⾃ルール・ルールグループ
/ マネージドルールグループ 2
©Fusic Co., Ltd. 12 基本の3要素 課⾦対象の基本要素 WebACL ルール リクエスト 基本はこの3要素!
WebACL1つごとに$5 ルールごとに$1 $0.6/100万リクエスト (※⽉あたり) 設定により 追加料⾦が発⽣
©Fusic Co., Ltd. 13 WebACL 課⾦対象の基本要素 WebACL WebACL WebACL WebACL
$5.00 $5.00 $10.00 ※WebACLは複数リソースに関連付けが可能(CloudFrontディストリビューション以外) ($5 × 1 WebACL) ($5 × 1 WebACL) ($5 × 2 WebACL) 1台 1台 2台
©Fusic Co., Ltd. 14 独⾃ルール・ルールグループ 課⾦対象の基本要素 独⾃ルール (ユーザー作成の独⾃ルール) ルール ルール
ルール ルール ルール ルール ルールグループ $3.00 $4.00 ($1 × 3 Rules) ($1 × 3 Rules + $1 × 1RuleGroup)
©Fusic Co., Ltd. 15 独⾃ルール・ルールグループ 課⾦対象の基本要素 独⾃ルール (ユーザー作成の独⾃ルール) ルール ルール
ルール ルール ルール ルール ルールグループ $3.00 $4.00 ($1 × 3 Rules) ($1 × 3 Rules + $1 × 1RuleGroup) ルールアクションに 「CAPTCHA」 「チャレンジレスポンス」 を設定すると追加料⾦あり
©Fusic Co., Ltd. 16 マネージドルールグループ 課⾦対象の基本要素 マネージドルールグループ (AWSまたはAWS Marketplace販売者により事前定義) $1.00
$2.00 ($1 × 1 ManagedRuleGroup) ($1 × 2RuleGroup) ルール ルール ルール マネージド ルールグループ ルール ルール ルール マネージド ルールグループ ルール ルール ルール マネージド ルールグループ
©Fusic Co., Ltd. 17 マネージドルールグループ 課⾦対象の基本要素 マネージドルールグループ (AWSまたはAWS Marketplace販売者により事前定義) $1.00
$2.00 ($1 × 1 ManagedRuleGroup) ($1 × 2RuleGroup) ルール ルール ルール マネージド ルールグループ ルール ルール ルール マネージド ルールグループ ルール ルール ルール マネージド ルールグループ マネージドルールグループの利⽤ に追加料⾦がかかるものがある
©Fusic Co., Ltd. 18 “追加料⾦なし”で使えるマネージドルールグループ 課⾦対象の基本要素 SQLデータベース Linux OS POSIX
OS Windows OS PHPアプリケーション WordPressアプリケーション コアルールセットマネージドグループ 管理者保護マネージドグループ 既知の不正な⼊⼒マネージドグループ AmazonIP評価リストマネージドグループ 匿名IPリストマネージドグループ ベースラインルールグループ ユースケース固有のルールグループ IP評価ルールグループ ※ルール料⾦($1)は課⾦されるが、利⽤料⾦はかからない
©Fusic Co., Ltd. 19 料⾦を計算してみる WebACL + 独⾃ルール / WebACL
+ 独⾃ルールグループ WebACL + 独⾃ルール・ルールグループ / WebACL + マネージドルールグループ + 独⾃ルール 3 追加料⾦を 考えずに!
©Fusic Co., Ltd. 20 WebACL + 独⾃ルール 料⾦を計算してみる WebACL 独⾃ルール
独⾃ルール WebACL:$5 独⾃ルール:$1 独⾃ルール:$1 $7
©Fusic Co., Ltd. 21 WebACL + 独⾃ルールグループ 料⾦を計算してみる WebACL WebACL:$5
独⾃ルールグループ:$4 $9 ルール ルール ルール 独⾃ルールグループ
©Fusic Co., Ltd. 22 WebACL + 独⾃ルール・ルールグループ 料⾦を計算してみる WebACL WebACL:$5
独⾃ルールグループ:$4 独⾃ルール:$1 $10 ルール ルール ルール 独⾃ルールグループ 独⾃ルール
©Fusic Co., Ltd. 23 WebACL + マネージドルールグループ + 独⾃ルール 料⾦を計算してみる
WebACL WebACL:$5 マネージドルールグループ:$1 独⾃ルール:$1 $7 独⾃ルール ルール ルール ルール マネージド ルールグループ
©Fusic Co., Ltd. 24 もう⼀つの課⾦要素・WCUs WCUsとは 4
©Fusic Co., Ltd. 25 WCUsとは もう⼀つの課⾦要素・WCUs WCUs(WebACL Capacity Units)とは? WebACL・ルール・ルールグループの実⾏に必要な運⽤リソースを計算・制御する
トラフィックを検査するための処理負荷=WCUs ルールが複雑・多量になれば、それだけWCUsは⼤きくなる。 ルール ルール ルール ルール ルール ルール ルール ルール ルール ルール WCUsを少なく抑える戦略も⼤事。
©Fusic Co., Ltd. 26 WCUsとは もう⼀つの課⾦要素・WCUs WCUs(WebACL Capacity Units)とは? WebACL・ルール・ルールグループの実⾏に必要な運⽤リソースを計算・制御する
トラフィックを検査するための処理負荷=WCUs ルールが複雑になれば、それだけWCUsは⼤きくなる。 ルール ルール ルール ルール ルール ルール ルール ルール ルール ルール WCUsを少なく抑える戦略も⼤事。 【ルールのWCUs】 ルールタイプごとに計算 【ルールグループのWCUs】 ルールグループ内で 定義したルールによって決まる 最⼤容量:5000WCU 【WebACLのWCUs】 WebACLで使⽤するルールと ルールグループによって決まる 最⼤容量:5000WCU 【WCUsによる追加料⾦】 WebACL基本料⾦に1500WCUを含む 1500WCU超過分は、500WCUごとに リクエスト100万件あたりの追加料⾦
©Fusic Co., Ltd. 27 まとめ 課⾦体系をおさらい / 課⾦体系から理解するAWS WAF 5
©Fusic Co., Ltd. 28 リクエスト WebACL ルール ルールグループ 課⾦体系をおさらい まとめ
WebACL リクエスト 基本3要素 + 追加料⾦要素 ルール ルール ルール ルールグループ マネージドルールグループ CAPCHA チャレンジレスポンス は追加料⾦ 利⽤料⾦:有料 の場合は追加料⾦ WebACLのWCUsが 1500を超えると追加料⾦ WCUsを計算!
©Fusic Co., Ltd. 29 [マネージドルールグループ] - 必要なものを選択 [独⾃ルール] - IPアドレス制限
課⾦体系から理解するAWS WAF まとめ [この発表の背景] シンプルなIP制限だけではない、 料⾦計算と提案を伴うAWS WAFの実装体験 どこに何の料⾦がかかるのか?を整理することで WAFを構成するコンポーネントと取捨選択のキーワード を理解できました 異なる制御の WebACLが複数!
©Fusic Co., Ltd. 30 Thank You We are Hiring! https://recruit.fusic.co.jp/
ご清聴いただきありがとうございました