クラウド型WAFのインフラとカスタマーイメージ

クラウド型WAFのインフラとカスタマーイメージ ※本来フロントエンド　インフラエンジニアではないためざっくりパノラマアフロ(神田庸平) 現職：WAFテクニカルサポート

WAFってどんなイメージ？どうやって作る・・？ ↓WAFインフラのイメージから、大体どんな動きをしているのかを把握してみましょう！ ↓

WAF構築するうえで最初にやるタスクを考えてみる ※概要のため、以降は省略してます WAFってなに？誰が使う？何を使って実現する？構成をイメージするどのくらい費用かかる？
WAFが何かを調べてみるどんな要件があって誰がWAFを利用し始めるのか・オンプレ/クラウド・インフラストラクチャ構成イメージを書くコストイメージを考える

・Web Application Firewallの略名・Webアプリケーション層（ L7）の攻撃を防御・最近は攻撃が多様化している・攻撃を受けてから対処ではなく前段で止める参照文献：https://it-trend.jp/waf/article/162-0008 WAFってなに？誰が使う？
何を使って実現する？構成をイメージするどのくらい費用かかる？ WAFとは何かを調べるどんな要件があって誰がWAFを利用し始めるのか・オンプレかクラウドか・どのインフラストラクチャを使うか構成イメージを書くコストイメージを考える WAFとはなんぞや

カスタマー(WAF利用企業)のイメージは？・外部公開されているサイトやアプリの運営とサーバ管理　└不特定多数のアクセスがある・自社サイト/アプリがどのような攻撃を受けているか不明　└セキュリティエンジニアがいない /もしくは手が回らない・セキュリティ対策のため　└ISMSの実現/PCI DSSの準拠,Pマークなど ⇒情報セキュリティ対策としてWAFを検討
カスタマーをイメージすると構築しやすい WAFってなに？誰が使う？何を使って実現する？構成をイメージするどのくらい費用かかる？ WAFとは何かを調べるどんな要件があって誰がWAFを利用し始めるのか・オンプレかクラウドか・どのインフラストラクチャを使うか構成イメージを書くコストイメージを考える

WAFの種類は？ ▪オンプレミス型WAF デメリット：アプライアンス型の場合、手前に機器をおくことになりコストが高いデメリット：ホスト型の場合、コストは安いがサーバ処理に負荷がかかる ▪クラウド型WAF メリット：低コスト・短期間で導入が可能メリット：サーバに負荷がかからない &自社アプリケーションに影響しないデメリット：NW等にトラブルがあると、後段のサーバアクセスに影響（冗長化や DNS切替を検討）
→クラウド型のWAFがメリットが大きく、選ばれやすいためここではクラウド型の WAFとして説明をしていきます ①手前にリバプロを置くパターン ②AWS WAFのパターン WAFってなに？誰が使う？何を使って実現する？構成をイメージするどのくらい費用かかる？ WAFとは何かを調べるどんな要件があって誰がWAFを利用し始めるのか・オンプレかクラウドか・どのインフラストラクチャを使うか構成イメージを書くコストイメージを考える

構成  イメージ  WAFってなに？誰が使う？何を使って実現する？構成をイメージするどのくらい費用かかる？
WAFとは何かを調べるどんな要件があって誰がWAFを利用し始めるのか・オンプレかクラウドか・どのインフラストラクチャを使うか構成イメージを書くコストイメージを考える対象のサーバに転送 WAFのOSSを利用 modsecurity,NAXSIなど

攻撃  イメージ　  攻撃と判定した場合はブロックブロックした履歴等を参照 WAFってなに？誰が使う？何を使って実現する？
構成をイメージするどのくらい費用かかる？ WAFとは何かを調べるどんな要件があって誰がWAFを利用し始めるのか・オンプレかクラウドか・どのインフラストラクチャを使うか構成イメージを書くコストイメージを考える

コスト  イメージ　  ルール更新の運用コストインフラ・運用の管理コスト WAFってなに？誰が使う？何を使って実現する？
構成をイメージするどのくらい費用かかる？ WAFとは何かを調べるどんな要件があって誰がWAFを利用し始めるのか・オンプレかクラウドか・どのインフラストラクチャを使うか構成イメージを書くコストイメージを考える

AWSWAFだと  コストは？  ルール更新の運用コストは同様にかかる WAFってなに？誰が使う？何を使って実現する？構成をイメージする
どのくらい費用かかる？ WAFとは何かを調べるどんな要件があって誰がWAFを利用し始めるのか・オンプレかクラウドか・どのインフラストラクチャを使うか構成イメージを書くコストイメージを考えるルール数やリクエストで課金 ※コストは変動が大きいので注意したほうがいい

・インフラ構成としては比較的単純なもの。  　だけど、WAFを自社のみでやろうとすると結構大変。    ・サイトやアプリ構成によってWAFルールを変えていく必要がある  ・セキュリティエンジニアを雇うコストがかかる  ・情報セキュリティチェックシートの対策は面倒    ・ちなみに、AIでも攻撃の対応はまだまだ難しいところでした。  　　　　※最新の攻撃に対応できない/攻撃と判断するまでが遅い/事前に止めれない   
⇒まだ自社でWAFを導入されていない場合、SaaS型のWAFを検討してみたり  　もしくはセキュリティエンジニアを確保して、クラウド型WAF構築を検討してみてもいいかも。  まとめ

ご清聴ありがとうございました

クラウド型WAFのインフラとカスタマーイメージ

クラウド型WAFのインフラとカスタマーイメージ

panoramaafro

Other Decks in Business

Featured

Transcript