Slide 1

Slide 1 text

WafCharm使ってみた 2024年8月28日 株式会社セゾンテクノロジー クラウドLT大会 vol.10 石丸 司 1

Slide 2

Slide 2 text

目次 1.自己紹介 2.課題設定 3.解決方法 4.設定してみた 5.使ってみた 6.良いところ 7.悪いところ 8.おわりに 2

Slide 3

Slide 3 text

1. 自己紹介 ■氏名:石丸司(いしまるつかさ) ■所属:セゾンテクノロジー ■経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 : 基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ■最近の活動 Japan AWS Top Engineers選出を目指し、 資格取得、Qiita投稿・LT登壇などを実施中 @tsukasa_aws 3 @Tsukasa_Ishimaru

Slide 4

Slide 4 text

2. 課題設定 ・インターネットに公開されたWEBシステム基盤を構築していて、 AWS WAFは導入したけど、運用を設計しきれていない ・AWS WAFは導入しているけれど、セキュリティ専任チームもいなくて、 定期的な最新ルールの差し替え等の作業は、 正直放置している 4 ここのお話

Slide 5

Slide 5 text

3. 解決方法 使用するサービス(AWS外部) ブロックルールの自動更新 ブラックリストへの自動登録 サポートによるトラブル発生時での、 原因特定やルール調整 5 https://www.wafcharm.com/jp/

Slide 6

Slide 6 text

3. 解決方法(続き) WafCharm導入後の構成イメージ 6 ①ログ出力 ②ログ連携 ③ルール更新

Slide 7

Slide 7 text

4. 設定してみた ①マーケットプレイスでWafCharmをサブスクライブ ②リンクからWafCharmのアカウント登録 ③Credential登録(WafCharm用IAMロール作成・登録) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 7 設定の流れ

Slide 8

Slide 8 text

4. 設定してみた(続き) ①マーケットプレイスでWafCharmをサブスクライブ 8 利用時間による従量課金 + アクセス数に応じた課金

Slide 9

Slide 9 text

4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録 9

Slide 10

Slide 10 text

4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録(続き) 10

Slide 11

Slide 11 text

4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 11 json形式の信頼ポリシーが生成される

Slide 12

Slide 12 text

4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 12 ・AmazonS3ReadOnlyAccess ・AWSWAFFullAccess ・CloudWatchReadOnlyAccess WafCharm管理画面で生成した 信頼ポリシーをコピペ

Slide 13

Slide 13 text

4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 13

Slide 14

Slide 14 text

4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 14

Slide 15

Slide 15 text

4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 15

Slide 16

Slide 16 text

4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 16

Slide 17

Slide 17 text

4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 17

Slide 18

Slide 18 text

4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 18

Slide 19

Slide 19 text

4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 19

Slide 20

Slide 20 text

5. 使ってみた ①どれほど攻撃がきているのか確認 20

Slide 21

Slide 21 text

5. 使ってみた(続き) ②WAFログ確認 21

Slide 22

Slide 22 text

5. 使ってみた(続き) ②WAFログ確認 22

Slide 23

Slide 23 text

4. 使ってみた(続き) ③ブラックリストへの手動登録 23

Slide 24

Slide 24 text

4. 使ってみた(続き) ③ブラックリストへの手動登録 24

Slide 25

Slide 25 text

5. 使ってみた(続き) ③ブラックリストへの手動登録 25 登録前 登録後

Slide 26

Slide 26 text

5. 使ってみた(続き) ④月次レポート確認(レガシーver.) 26

Slide 27

Slide 27 text

6. 良いところ ・導入が簡単 30分程で完了 ・ルールの自動更新 AWS WAF:定期的に手動で更新が必要(適用するルールの選定も必要) ⇒誤検知等のトラブルが起きない限り、ほったらかしでOK ・WafCharm管理画面でWAFログの参照ができる AWS WAF:Athenaのクエリを事前に用意してログの検索・参照を行う ⇒管理画面でログの検索・参照ができる ・月次レポート お客様へのレポート提出が必要な場合、そのまま提出可能 27

Slide 28

Slide 28 text

7. 悪いところ 28 ・環境(AWSアカウント)毎にWafCharmの利用料を分割できない マーケットプレイス経由で購買した場合、WafCharmの利用料は、 サブスクリプションしたAWSアカウントに全額請求される。 →環境毎に分割するには、環境毎にWafCharmのアカウントが必要 ・設定時にエラーが発生した場合、エラーメッセージが何も表示されない CloudTrailの証跡を参照してユーザー名:wafcharmで絞り込んで確認する必要あり →・WAFログ格納先のS3バケットポリシーで権限制限 ・WAFログ格納先のS3バケットをカスタムKMSで暗号化&権限制限 →S3バケットとKMSのリソースベースポリシーに、 WafCharm用IAMロールへの許可設定が必要だった

Slide 29

Slide 29 text

8. おわりに • WafCharmを導入して、WAFの運用作業から解放されましょう 29

Slide 30

Slide 30 text

ご清聴ありがとうございました 30