Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WafCharm運用の ベストプラクティスを 考えてみた

Yutaka Hiroyama
July 28, 2021
Technology
0
1k

WafCharm運用の ベストプラクティスを 考えてみた

WafCharm運用のベストプラクティスを考えてみた
iret tech-labo #11

Yutaka Hiroyama

July 28, 2021
Tweet

More Decks by Yutaka Hiroyama

See All by Yutaka Hiroyama
Is Serverless Safe? ~Hacking AWS Lambda~
pict3
0
49
Is Serverless Safe? ~Hacking AWS Lambda~
pict3
1
270
PagerDutyを活用した インシデント管理の自動化とメリット
pict3
0
400
AWSからのメール読んでいますか?
pict3
0
1.8k
PCI DSS運用でラクをする/make_it_easy_for_pci-dss_operation_on_cloud
pict3
0
220
AWSでのPCI DSS運用でラクをする/make_it_easy_for_pci-dss_operation_on_aws
pict3
1
2.1k
運用情報共有会資料
pict3
0
110
AWS運用における「セキュリティ」の不安を一掃! cloudpackのセキュリティサービスで安心運用を実現
pict3
0
96

Other Decks in Technology

See All in Technology
いろんなものと両立する Kaggleの向き合い方
go5paopao
2
920
国土交通省 データコンペ参加者向け勉強会
takehikohashimoto
0
350
mikroBus HAT を用いた簡易ベアメタル開発
tarotene
0
230
ZOZOTOWNでの推薦システム活用事例の紹介
f6wbl6
1
420
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
360
形式手法の 10 メートル手前 #kernelvm / Kernel VM Study Hokuriku Part 7
ytaka23
5
690
プロダクトエンジニアが活躍する環境を作りたくて 事業責任者になった話 ~プロダクトエンジニアの行き着く先~
gimupop
1
600
プロポーザルのつくり方
〜個人技編〜 / How to come up with proposals
ohbarye
4
300
Platform Engineering ことはじめ
oracle4engineer
PRO
8
760
コンテナのトラブルシューティング目線から AWS SAW についてしゃべってみる
kazzpapa3
1
120
第23回Ques_タイミーにおけるQAチームの在り方 / QA Team in Timee
takeyaqa
0
140
Microsoft Fabric OneLake の実体について
ryomaru0825
0
180

Featured

See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
Visualization
eitanlees
145
15k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
505
140k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Into the Great Unknown - MozCon
thekraken
32
1.5k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Building Adaptive Systems
keathley
38
2.3k
Gamification - CAS2011
davidbonilla
80
5k
Typedesign – Prime Four
hannesfritz
40
2.4k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k

Transcript

  1. WafCharm運⽤の ベストプラクティスを 考えてみた 2021/07/28 ヒロヤマ ユタカ

  2. about me • 廣⼭ 豊 • アイレット株式会社 クラウドインテグレーション事業部副事業部⻑ 兼 情報管理責任者

    兼 PCI DSS管理責任者 兼 Well Architected Lead • 2020, 2021 Japan APN AWS Ambassador, AWS Top Engineers • 組み込み開発SIer出⾝ • AWS * 8, GCP * 9, Azure * 1, 情報処理安全確保⽀援⼠、 その他多数の認定資格を保有

  3. about us • クラウド導⼊実績1,900社以上 • 年間プロジェクト2,600以上 • AWSプレミアコンサルティングパートナー8 年連続認定 •

    APN Consulting Partner of the year 2019 • GCPプレミアサービスパートナー認定 • クラウドのインフラ運⽤を主軸に、デザイン から開発までワンストップでサポート • 他拠点で運⽤

  4. 本⽇のテーマ • 汎⽤的な WafCharm(AWS WAF v2)運⽤ 本⽇話すこと • 個別要件に特化した運⽤ •

    個別機能に特化した詳細解説 本⽇話さないこと WafCharmおよびAWS WAFの運⽤についてのご案内。

  5. アジェンダ AWS WAFとは WafCharmがもたらす運⽤⾯での価値 運⽤に必要なインフラ構成 WafCharm(AWS WAF)運⽤時の注意点 WafCharm利⽤時の運⽤

  6. アジェンダ AWS WAFとは WafCharmがもたらす運⽤⾯での価値 運⽤に必要なインフラ構成 WafCharm(AWS WAF)運⽤時の注意点 WafCharm利⽤時の運⽤

  7. What is AWS WAF 参照: https://aws.amazon.com/jp/waf/

  8. アジェンダ AWS WAFとは WafCharmがもたらす運⽤⾯での価値 運⽤に必要なインフラ構成 WafCharm(AWS WAF)運⽤時の注意点 WafCharm利⽤時の運⽤

  9. WafCharmがないとき • ⾃前でルールを作成チューニング • システムに合わせたマネージドルールを選定

  10. 課題 システム変更に合わせたチューニング アプリケーションレイヤの担当者と 密なコミュニケーションが必要

  11. WafCharmがあるとき • WafCharmが⾃動的にルールをチューニング • Shield Advancedの機能の⼀部と類似

  12. アジェンダ AWS WAFとは WafCharmがもたらす運⽤⾯での価値 運⽤に必要なインフラ構成 WafCharm(AWS WAF)運⽤時の注意点 WafCharm利⽤時の運⽤

  13. AWS WAFログを出⼒しない • メリット AWSリソースコスト最⼩化 • デメリット 調査できることが限定

  14. AWS WAFログを出⼒する • メリット ログを元に解析可能 • デメリット 運⽤コスト増加 AWSリソースコスト増加

  15. WafCharmのレポートを利⽤ • メリット WafCharmが⽣成するレポート を取得可能 • デメリット 運⽤コスト増加 AWSリソースコスト増加

  16. ⽐較 WafCharmのレポートを利⽤ AWS WAFログを出⼒する AWS WAFログを出⼒しない 利便性 経済的

  17. アジェンダ AWS WAFとは WafCharmがもたらす運⽤⾯での価値 運⽤に必要なインフラ構成 WafCharm(AWS WAF)運⽤時の注意点 WafCharm利⽤時の運⽤

  18. モード切り替え時はルール設定更新必要 WafCharm上でのモード切り替えは、デフォルト設定の切り替え。 既に適⽤済みのルールは切り替わらないので、⼿動でOverride rules actionをON/OFF して切り替える必要がある。

  19. 異なるCOUNTのログ ⾃作のRuleでのログ • nonterminatingmatchingrules [{ruleid=my-rule01, action=COUNT}] • RulegroupList {rulegroupid=arn:aws:wafv2:us-east-1:XXXXXXXXXXXX:regional/rulegroup/<any-rules>/dafe994f-6a04-4426- 8dcf-9a23578669fd,

    terminatingrule=null, nonterminatingmatchingrules=[], excludedrules=null}, WafCharmのRuleでのログ • nonterminatingmatchingrules [] • RulegroupList {rulegroupid=arn:aws:wafv2:us-east- 1:XXXXXXXXXXXX:regional/rulegroup/WafCharm_Blacklist_Group_2132/dafe994f-6a04-4426-8dcf- 9a23578669fd, terminatingrule=null, nonterminatingmatchingrules=[], excludedrules=[{ruleid=wafcharm- blacklist-2132, exclusiontype=EXCLUDED_AS_COUNT}]},

  20. カウントログのフィルタリング カウントモード運⽤において、Log FiltersでAcceptログをドロップする場 合、グループアクションとしてカウ ントモードに設定しないと、カウン トアクションのログもAcceptのログ と同様にドロップされてしまう。

  21. 脆弱性診断や再現確認するとBlackList ⼊り • 別IPを持つ専⽤のホストから実⾏

  22. アジェンダ AWS WAFとは WafCharmがもたらす運⽤⾯での価値 運⽤に必要なインフラ構成 WafCharm(AWS WAF)運⽤時の注意点 WafCharm利⽤時の運⽤

  23. WafCharmユーザーの運⽤でできること • ルールのチューニング • メトリクスの監視 • AWS WAF障害時の対応 • COUNTモードとBLOCKモードの切り替え

  24. 運⽤シナリオパターン 導⼊ 検証 本運⽤ 最初はカウントモード で開始。 しばらく、誤検知/過検 知を観測 ブロックモードで本運⽤ 開始。

    本運⽤後に切り替えも可。

  25. 誤検知/過検知の判断 • カウント判定したログを全てチェック • ⼈的/ツールコストがかかる • 何も⾒ない • 意味がないのでブロックモードにした⽅がいい •

    チェックの精度とコストのバランスを鑑みた判断 • 国内からのアクセスのカウント判定が⼀定以上

  26. Athena WITH dataset AS (SELECT from_unixtime(timestamp/1000, 'Asia/Tokyo') AS JST, waf_logs.action

    AS Action, waf_logs.rulegrouplist AS RulegroupList, rulegroups AS rulegroups, waf_logs.httprequest.clientip AS ClientIP, waf_logs.httprequest.country AS Country, waf_logs.httprequest.httpmethod AS HttpMethod, waf_logs.httprequest.uri AS URI, waf_logs.terminatingruleid, waf_logs.responsecodesent AS Response, waf_logs.nonterminatingmatchingrules, waf_logs.httprequest FROM waf_logs, UNNEST(rulegrouplist) t(rulegroups) WHERE rulegroups.excludedrules is NOT null AND httpRequest.country = 'JP' AND from_unixtime(timestamp/1000) > now() - interval '3' day ) SELECT count(*) * 100.0 / (SELECT COUNT(*) FROM waf_logs WHERE from_unixtime(timestamp/1000) > now() - interval '3' day ) AS rate , excludedrules.ruleid AS ruleid FROM dataset, UNNEST(rulegroups.excludedrules) t(excludedrules) WHERE excludedrules.exclusiontype = 'EXCLUDED_AS_COUNT' GROUP BY excludedrules.ruleid ORDER BY rate DESC ;

  27. rate ruleid 25.5154639 wafcharm-blacklist-2132 1.80412371 OScmdi-qs-001 0.77319588 XXE-body-001 0.77319588 Traversal-body-001

    0.51546392 SSCi-body-002 0.25773196 OScmdi-body-001
  28. None

  29. まとめ • WafCharmを使うことで、AWS WAFのルールの⾃動チューニング が可能 • 誤検知/過検知のリスクを考えると、ロギングとモニタリングの 考慮が必要になる • 実施するには、運⽤およびリソースのコストが発⽣するので、

    落とし所を考える