課金体系を紐解いて学ぶAWS WAF

Transcript

1. ©Fusic Co., Ltd. 0 課⾦体系 を紐解いて学ぶ AWS WAF 2024.10.23 Mai

   Miyazaki @maimyyym 【AWS】AWS10分LT会 - vol.5

2. ©Fusic Co., Ltd. 1 宮崎 真⾐ Miyazaki Mai HN: mai

   (@maimyyym ) ◉ I am - 管理栄養⼠（養成校卒業・資格保持のみ） - 元百貨店スタッフ（Beauty Counselor） - 2023年10⽉ Fusic⼊社 ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) ◉ Comment - AWS10分LT会の登壇は2回⽬です！ （2⽉のvol.3でお話しました） ⾃⼰紹介 はじめに 事業本部 技術創造部⾨ / エンジニア 株式会社Fusic at 福岡

3. ©Fusic Co., Ltd. 2 CONTENTS ⽬次 1. AWS WAFとは 2.

   課⾦対象の基本要素 3. 料⾦を計算してみる 4. もう⼀つの課⾦要素・WCUs 5. まとめ

4. ©Fusic Co., Ltd. 3 AWS WAFとは そもそもWAFとは？ / AWS WAFについて

   / 話すこと・話さないこと 1

5. ©Fusic Co., Ltd. 4 そもそもWAFとは？ AWS WAFとは WAF = Web

   Application Firewall https://aws.amazon.com/jp/waf/what-is-waf/ Web アプリケーションの通信をフィルター、監視、 ブロックするためのソフトウェアまたは、ハードウェア のセキュリティ対策です。

6. ©Fusic Co., Ltd. 5 そもそもWAFとは？ AWS WAFとは WAF = Web

   Application Firewall XSS DDoS 不正なbot SQLインジェクション Webアプリケーションの 脆弱性を悪⽤ アプリケーション層を 狙った攻撃 Webアプリケーション WAF

7. ©Fusic Co., Ltd. 6 AWS WAFについて AWS WAFとは AWS が提供するクラウド型

   WAF のサービス AWS WAFとは • SQL インジェクションなどの ⼀般的な攻撃を検知するルール • 様々なマッチ条件によるフィルター • IP リスト • レートコントロール などの機能で不正な通信の検知・遮断を⾏う

8. ©Fusic Co., Ltd. 7 AWS WAFについて AWS WAFとは AWS WAFの始め⽅

   https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/getting-started.html WebACLを作成 ルール・ルールグループを 作成・WebACLに追加 WebACLを リソースに関連付け

9. ©Fusic Co., Ltd. 8 AWS WAFについて AWS WAFとは WebACLを関連付けることでリソースを保護 AWS

   WAFによるリソース保護 https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/how-aws-waf-works-resources.html [グローバルリソース] • CloudFrontディストリビューション [リージョナルリソース] • Amazon API Gateway REST API • Application Load Balancer • AWS AppSync GraphQL API • Amazon Cognito ユーザープール • AWS App Runner サービス • AWS Verified Accessインスタンス

10. ©Fusic Co., Ltd. 9 AWS WAFについて AWS WAFとは AWS WAFによるリソース保護

    使い⽅はなんとなく分かった。 できることもなんとなく分かった。 …でも、課⾦体系がよく分からない！ WebACL ルール ルールグループ

11. ©Fusic Co., Ltd. 10 話すこと・話さないこと AWS WAFとは 話すこと AWS WAFの課⾦にまつわる基本的な要素について

    話さないこと AWS WAFの設定・構築⽅法とベストプラクティス 課⾦単位より細かなコンポーネントについて （※ステートメントやルールタイプなど）

12. ©Fusic Co., Ltd. 11 課⾦対象の基本要素 基本の3要素 / WebACL / 独⾃ルール・ルールグループ

    / マネージドルールグループ 2

13. ©Fusic Co., Ltd. 12 基本の3要素 課⾦対象の基本要素 WebACL ルール リクエスト 基本はこの3要素！

    WebACL1つごとに$5 ルールごとに$1 $0.6/100万リクエスト （※⽉あたり） 設定により 追加料⾦が発⽣

14. ©Fusic Co., Ltd. 13 WebACL 課⾦対象の基本要素 WebACL WebACL WebACL WebACL

    $5.00 $5.00 $10.00 ※WebACLは複数リソースに関連付けが可能（CloudFrontディストリビューション以外） （$5 × 1 WebACL） （$5 × 1 WebACL） （$5 × 2 WebACL） 1台 1台 2台

15. ©Fusic Co., Ltd. 14 独⾃ルール・ルールグループ 課⾦対象の基本要素 独⾃ルール （ユーザー作成の独⾃ルール） ルール ルール

    ルール ルール ルール ルール ルールグループ $3.00 $4.00 （$1 × 3 Rules） （$1 × 3 Rules + $1 × 1RuleGroup）

16. ©Fusic Co., Ltd. 15 独⾃ルール・ルールグループ 課⾦対象の基本要素 独⾃ルール （ユーザー作成の独⾃ルール） ルール ルール

    ルール ルール ルール ルール ルールグループ $3.00 $4.00 （$1 × 3 Rules） （$1 × 3 Rules + $1 × 1RuleGroup） ルールアクションに 「CAPTCHA」 「チャレンジレスポンス」 を設定すると追加料⾦あり

17. ©Fusic Co., Ltd. 16 マネージドルールグループ 課⾦対象の基本要素 マネージドルールグループ （AWSまたはAWS Marketplace販売者により事前定義） $1.00

    $2.00 （$1 × 1 ManagedRuleGroup） （$1 × 2RuleGroup） ルール ルール ルール マネージド ルールグループ ルール ルール ルール マネージド ルールグループ ルール ルール ルール マネージド ルールグループ

18. ©Fusic Co., Ltd. 17 マネージドルールグループ 課⾦対象の基本要素 マネージドルールグループ （AWSまたはAWS Marketplace販売者により事前定義） $1.00

    $2.00 （$1 × 1 ManagedRuleGroup） （$1 × 2RuleGroup） ルール ルール ルール マネージド ルールグループ ルール ルール ルール マネージド ルールグループ ルール ルール ルール マネージド ルールグループ マネージドルールグループの利⽤ に追加料⾦がかかるものがある

19. ©Fusic Co., Ltd. 18 “追加料⾦なし”で使えるマネージドルールグループ 課⾦対象の基本要素 SQLデータベース Linux OS POSIX

    OS Windows OS PHPアプリケーション WordPressアプリケーション コアルールセットマネージドグループ 管理者保護マネージドグループ 既知の不正な⼊⼒マネージドグループ AmazonIP評価リストマネージドグループ 匿名IPリストマネージドグループ ベースラインルールグループ ユースケース固有のルールグループ IP評価ルールグループ ※ルール料⾦($1)は課⾦されるが、利⽤料⾦はかからない

20. ©Fusic Co., Ltd. 19 料⾦を計算してみる WebACL + 独⾃ルール / WebACL

    + 独⾃ルールグループ WebACL + 独⾃ルール・ルールグループ / WebACL + マネージドルールグループ + 独⾃ルール 3 追加料⾦を 考えずに！

21. ©Fusic Co., Ltd. 20 WebACL + 独⾃ルール 料⾦を計算してみる WebACL 独⾃ルール

    独⾃ルール WebACL：$5 独⾃ルール：$1 独⾃ルール：$1 $7

22. ©Fusic Co., Ltd. 21 WebACL + 独⾃ルールグループ 料⾦を計算してみる WebACL WebACL：$5

    独⾃ルールグループ：$4 $9 ルール ルール ルール 独⾃ルールグループ

23. ©Fusic Co., Ltd. 22 WebACL + 独⾃ルール・ルールグループ 料⾦を計算してみる WebACL WebACL：$5

    独⾃ルールグループ：$4 独⾃ルール：$1 $10 ルール ルール ルール 独⾃ルールグループ 独⾃ルール

24. ©Fusic Co., Ltd. 23 WebACL + マネージドルールグループ + 独⾃ルール 料⾦を計算してみる

    WebACL WebACL：$5 マネージドルールグループ：$1 独⾃ルール：$1 $7 独⾃ルール ルール ルール ルール マネージド ルールグループ

25. ©Fusic Co., Ltd. 24 もう⼀つの課⾦要素・WCUs WCUsとは 4

26. ©Fusic Co., Ltd. 25 WCUsとは もう⼀つの課⾦要素・WCUs WCUs(WebACL Capacity Units)とは？ WebACL・ルール・ルールグループの実⾏に必要な運⽤リソースを計算・制御する

    トラフィックを検査するための処理負荷＝WCUs ルールが複雑・多量になれば、それだけWCUsは⼤きくなる。 ルール ルール ルール ルール ルール ルール ルール ルール ルール ルール WCUsを少なく抑える戦略も⼤事。

27. ©Fusic Co., Ltd. 26 WCUsとは もう⼀つの課⾦要素・WCUs WCUs(WebACL Capacity Units)とは？ WebACL・ルール・ルールグループの実⾏に必要な運⽤リソースを計算・制御する

    トラフィックを検査するための処理負荷＝WCUs ルールが複雑になれば、それだけWCUsは⼤きくなる。 ルール ルール ルール ルール ルール ルール ルール ルール ルール ルール WCUsを少なく抑える戦略も⼤事。 【ルールのWCUs】 ルールタイプごとに計算 【ルールグループのWCUs】 ルールグループ内で 定義したルールによって決まる 最⼤容量：5000WCU 【WebACLのWCUs】 WebACLで使⽤するルールと ルールグループによって決まる 最⼤容量：5000WCU 【WCUsによる追加料⾦】 WebACL基本料⾦に1500WCUを含む 1500WCU超過分は、500WCUごとに リクエスト100万件あたりの追加料⾦

28. ©Fusic Co., Ltd. 27 まとめ 課⾦体系をおさらい / 課⾦体系から理解するAWS WAF 5

29. ©Fusic Co., Ltd. 28 リクエスト WebACL ルール ルールグループ 課⾦体系をおさらい まとめ

    WebACL リクエスト 基本3要素 ＋ 追加料⾦要素 ルール ルール ルール ルールグループ マネージドルールグループ CAPCHA チャレンジレスポンス は追加料⾦ 利⽤料⾦：有料 の場合は追加料⾦ WebACLのWCUsが 1500を超えると追加料⾦ WCUsを計算！

30. ©Fusic Co., Ltd. 29 [マネージドルールグループ] - 必要なものを選択 [独⾃ルール] - IPアドレス制限

    課⾦体系から理解するAWS WAF まとめ [この発表の背景] シンプルなIP制限だけではない、 料⾦計算と提案を伴うAWS WAFの実装体験 どこに何の料⾦がかかるのか？を整理することで WAFを構成するコンポーネントと取捨選択のキーワード を理解できました 異なる制御の WebACLが複数！

31. ©Fusic Co., Ltd. 30 Thank You We are Hiring! https://recruit.fusic.co.jp/

    ご清聴いただきありがとうございました