AWSで構築するNext.js+APIのセキュリティ対応まとめ

Transcript

1. AWSで構築するNext.js+APIのセ キュリティ対応まとめ 9/22 イケブクロ電脳組

2. 自己紹介 名前　蓬莱寿成 所属　虎の穴ラボ株式会社 最近 　水泳（やっと80分で1800mが泳げるようになってきた） 　某長編推理アニメを昔から見返し始めた 　問題集用のアプリケーションの構築

3. 自己紹介 名前　蓬莱寿成 所属　虎の穴ラボ株式会社 最近 　水泳（やっと80分で1800mが泳げるようになってきた） 　某長編推理アニメを昔から見返し始めた 　問題集用のアプリケーションの構築

4. 自己紹介 名前　蓬莱寿成 所属　虎の穴ラボ株式会社 最近 　水泳（やっと80分で1800mが泳げるようになってきた） 　某長編推理アニメを昔から見返し始めた 　問題集用のアプリケーションの構築 構築した時に行った アクセス制御の仕組み

5. どんな構成のアプリケーション？

6. どんな構成なアプリケーション？ S3 WAF Cloud Front API Gateway Lambda DynamoDB

7. どんな構成なアプリケーション？ S3 WAF Cloud Front API Gateway Lambda DynamoDB S3に直接アクセス

   できてしまわないか？ APIGatewayに直接アクセス できてしまわないか？ WAFっている？ テーブルへのアクセス権が 過大でないか？

8. どんな構成なアプリケーション？ S3 WAF Cloud Front API Gateway Lambda DynamoDB S3に直接アクセス

   できてしまわないか？ APIGatewayに直接アクセス できてしまわないか？ WAFっている？ テーブルへのアクセス権が 過大でないか？

9. WAFっている？

10. WAFっている？ ・使う人は知っている人だけ使うだけならいらない？ →アクセス制限がされていないのでURLが漏れるとアクセスされる ＝必要 ・不特定多数に利用される場合でも、URL知らないとアクセスできならいい？ →Xにリンクのせると海外からボットがきた ＝必要 　　　　　　　　CloudFrontでベーシック認証でも制限ができる

11. S3に直接アクセスできてしまわないか？

12. S3に直接アクセスできてしまわないか？ ・通常作成した直後は全てブロックになっている＝アクセスされることはない ・S3とNext.jsのアプリの公開の記事をみると、このブロックを解除すると書かれている ことがある なぜブロック解除？ 　・CloudFrontからS3へアクセスできるまで作成から最大24時間かかる 　・CloudFrontとS3のアクセス制御は双方に設定が必要 どう設定されて いる？

13. S3に直接アクセスできてしまわないか？ 【構築メモ】Next.jsをCloudFront+S3でセキュアにホスティング！GitHub ActionsでCI/CDも構築


14. APIGatewayに直接アクセスできてしま わないか？

15. APIGatewayに直接アクセスできてしまわないか？ ・作成した段階でどこからでもアクセスできる ・アクセス制限の方法 1)WAF 　CloudFrontと共通化できないので、追加の費用がかかる 2)Lambda 　リクエストのヘッダー情報で判断する ヘッダー情報を付与 ヘッダー情報をチェッ ク

16. APIGatewayに直接アクセスできてしまわないか？ ・サーバーレスAPIを安全に！CloudFrontとLambdaとGitHub Actionsで作 るセキュアな仕組み


17. まとめ

18. まとめ S3 WAF Cloud Front API Gateway Lambda DynamoDB

19. まとめ ・アクセス制御の仕組みの復習ができた
 
 ・ある程度構築の自動化の検討もできた
 　（Lambdaでのアクセス制御）
 
 ・インフラの構成などこれまで詳しく知っていなかった部分の再確認ができ ました
 


20. まとめ 
 
 
 
 
 
 
 
 


    
 アプリケーション
 (https://github.com/pawn-4-git/ai-mon)