Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
クラウド型WAFのインフラと カスタマーイメージ
Search
panoramaafro
May 04, 2023
Business
0
360
クラウド型WAFのインフラと カスタマーイメージ
panoramaafro
May 04, 2023
Tweet
Share
Other Decks in Business
See All in Business
Notes on “Camp”
campinc
0
1.6k
株式会社リブセンス 会社説明資料(報道関係者様向け)
livesense
PRO
0
1.3k
【Gen-AX】Gen-AX株式会社_採用カンパニーデック
genax
0
2.1k
HRbase 労務開発説明資料
maka
0
320
構造化すれば怖くない 画像検索から始める木を見て森に入る勉強法
cuebic9bic
2
320
AnyMind Group Company Deck (JP)
anymind
3
110k
水産庁長官への提言書_Chefs for the Blue
mahong
0
580
“なぜか進まない” 新規事業: 『考えすぎ/走りすぎ』の罠を越え、 明確なプロダクトゴールと高まるスプリント価値
mkitahara01985
3
250
Valley of Flowers: Rare Flora, Fauna & Alpine Beauty
pragyakukreti1
0
140
LW_brochure_engineer
lincwellhr
0
33k
無意識化を促すチェックリストの作り方
raylucas
0
260
(33枚)絶対達成プライムの特徴と3つの特徴
nyattx
PRO
0
110
Featured
See All Featured
Documentation Writing (for coders)
carmenintech
71
4.8k
Optimizing for Happiness
mojombo
378
70k
Typedesign – Prime Four
hannesfritz
42
2.7k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
Side Projects
sachag
454
42k
Scaling GitHub
holman
459
140k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
10
870
VelocityConf: Rendering Performance Case Studies
addyosmani
329
24k
Automating Front-end Workflow
addyosmani
1370
200k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
35
2.3k
Thoughts on Productivity
jonyablonski
69
4.7k
YesSQL, Process and Tooling at Scale
rocio
172
14k
Transcript
クラウド型WAFのインフラと カスタマーイメージ ※本来フロントエンド インフラエンジニアではないためざっくり パノラマアフロ(神田 庸平) 現職:WAFテクニカルサポート
WAFってどんなイメージ? どうやって作る・・? ↓WAFインフラのイメージから、大体どんな動きをしているのかを把握してみましょう! ↓
WAF構築するうえで最初にやるタスクを考えてみる ※概要のため、以降は省略してます WAFってなに? 誰が使う? 何を使って 実現する? 構成を イメージする どのくらい 費用かかる?
WAFが何かを調べてみる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレ/クラウド ・インフラストラクチャ 構成イメージを書く コストイメージを考える
・Web Application Firewallの略名 ・Webアプリケーション層( L7)の攻撃を防御 ・最近は攻撃が多様化している ・攻撃を受けてから対処ではなく前段で止める 参照文献:https://it-trend.jp/waf/article/162-0008 WAFってなに? 誰が使う?
何を使って 実現する? 構成を イメージする どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える WAFとはなんぞや
カスタマー(WAF利用企業)のイメージは? ・外部公開されているサイトやアプリの運営とサーバ管理 └不特定多数のアクセスがある ・自社サイト/アプリがどのような攻撃を受けているか不明 └セキュリティエンジニアがいない /もしくは手が回らない ・セキュリティ対策のため └ISMSの実現/PCI DSSの準拠,Pマークなど ⇒情報セキュリティ対策としてWAFを検討
カスタマーをイメージすると構 築しやすい WAFってなに? 誰が使う? 何を使って 実現する? 構成を イメージする どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える
WAFの種類は? ▪オンプレミス型WAF デメリット:アプライアンス型の場合、手前に機器をおくことになりコストが高い デメリット:ホスト型の場合、コストは安いがサーバ処理に負荷がかかる ▪クラウド型WAF メリット:低コスト・短期間で導入が可能 メリット:サーバに負荷がかからない &自社アプリケーションに影響しない デメリット:NW等にトラブルがあると、後段のサーバアクセスに影響(冗長化や DNS切替を検討)
→クラウド型のWAFがメリットが大きく、選ばれやすいため ここではクラウド型の WAFとして説明をしていきます ①手前にリバプロを置くパターン ②AWS WAFのパターン WAFってなに? 誰が使う? 何を使って 実現する? 構成を イメージする どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える
構成 イメージ WAFってなに? 誰が使う? 何を使って 実現する? 構成を イメージする どのくらい費 用かかる?
WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える 対象のサーバに 転送 WAFのOSSを利用 modsecurity,NAXSIな ど
攻撃 イメージ 攻撃と判定した場合はブ ロック ブロックした履歴等を 参照 WAFってなに? 誰が使う? 何を使って 実現する?
構成を イメージする どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える
コスト イメージ ルール更新の 運用コスト インフラ・運用の管 理コスト WAFってなに? 誰が使う? 何を使って 実現する?
構成を イメージする どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える
AWSWAFだと コストは? ルール更新の運用コスト は同様にかかる WAFってなに? 誰が使う? 何を使って 実現する? 構成を イメージする
どのくらい費 用かかる? WAFとは何かを調べる どんな要件があって 誰がWAFを利用し始めるのか ・オンプレかクラウドか ・どのインフラストラクチャを使うか 構成イメージを書く コストイメージを考える ルール数やリクエスト で課金 ※コストは変動が大きいので 注意したほうがいい
・インフラ構成としては比較的単純なもの。 だけど、WAFを自社のみでやろうとすると結構大変。 ・サイトやアプリ構成によってWAFルールを変えていく必要がある ・セキュリティエンジニアを雇うコストがかかる ・情報セキュリティチェックシートの対策は面倒 ・ちなみに、AIでも攻撃の対応はまだまだ難しいところでした。 ※最新の攻撃に対応できない/攻撃と判断するまでが遅い/事前に止めれない
⇒まだ自社でWAFを導入されていない場合、SaaS型のWAFを検討してみたり もしくはセキュリティエンジニアを確保して、クラウド型WAF構築を検討してみてもいいかも。 まとめ
ご清聴ありがとうございました