AWSの類似サービスと比較して知るAWS WAF #devio2022

by becominn

Slide 1

Slide 1 text

AWSの類似サービスと⽐較して知る AWS WAF AWS事業本部コンサルティング部べこみん

Slide 2

Slide 2 text

2 自己紹介べこみん (Twitter @beco_minn) • AWS事業本部コンサルティング部 • 興味のあるサービス: AWS WAF • 趣味: 猫と遊ぶこと、日本酒を飲むこと

Slide 3

Slide 3 text

3 このセッションで話すこと AWS WAFの概要 AWS WAFと類似のAWSサービス比較以下のサービスと比較・AWS Network Firewall ・Security Group ・Network ACL ・AWS Shield

Slide 4

Slide 4 text

4 このセッションで話さないこと AWS WAFの具体的な使い方 AWSサービス以外(サードパーティ)のWAF製品について

Slide 5

Slide 5 text

5 AWS WAFとは

Slide 6

Slide 6 text

6 AWS WAFとは・WAF = Web Application Firewall ・Webアプリケーションの脆弱性を利用した攻撃から、Webアプリケーションを保護するマネージドサービス・複数のルールを組み合わせて使用・Amazon CloudFront、ALB、Amazon API Gateway、AWS AppSyncにアタッチして使用

Slide 7

Slide 7 text

7 そもそも Web Application Firewall とは・Webアプリケーションを保護することに特化したソフトウェアまたはハードウェア・Webアプリケーションへの通信内容を検査し、不正な操作を検出、防御する・運営者が設定したルールに応じて検査を行う参考: IPA - Web Application Firewall 読本

Slide 8

Slide 8 text

8 AWS WAFで検出、防御可能な攻撃・決められたキャパシティ内で複数のルールを組み合わせられる(AWS WAF v2) ・マネージドルールや自分でカスタマイズしたルールを設定・ AWSが用意したマネージドルールもある参考：AWS - AWS WAF の AWS マネージドルール・設定したルール次第で、SQLインジェクションやXSSをはじめ、 OWASP Top 10に入ったセキュリティリスク、Botからのアクセスなどを検出、防御可能

Slide 9

Slide 9 text

9 AWS WAFと類似のAWSサービス比較

Slide 10

Slide 10 text

10 VS AWS Network Firewall

Slide 11

Slide 11 text

11 VS AWS Network Firewall AWS Network Firewall ・VPCサブネットに配置して利用するマネージドサービス・ただのFWではなく、シグネチャベースのIDS/IPSとしても使用可能・パケットのペイロードまで見て(DPI)、フィルタリングを行う・ルールで評価した通信に対してアクションを選択可能

Slide 12

Slide 12 text

12 VS AWS Network Firewall AWS WAF AWS Network Firewall 対象のネットワークレイヤー L7 L3 - L7 主な役割 Webアプリケーションへの通信の検査、Webアプリケーションの保護トラフィック検査とフィルタリング侵入防止構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPCサブネットに配置（ルーティング変更が必要） AWS Firewall Managerとの連携可可料金要（従量課金）要（従量課金）

Slide 13

Slide 13 text

13 VS Security Group

Slide 14

Slide 14 text

14 VS Security Group Security Group ・EC2やRDS、ELBなどのネットワークインターフェース(ENI)にアタッチして使用する仮想ファイアウォール・主に接続元IPアドレスでのアクセス制御を行う・ルールはステートフル・追加料金は無し

Slide 15

Slide 15 text

15 VS Security Group AWS WAF Security Group 対象のネットワークレイヤー L7 L3 – L4 主な役割 Webアプリケーションへの通信の検査、Webアプリケーションの保護接続元IPアドレスなどでのアクセス制御構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPC内リソースのENIにアタッチ AWS Firewall Managerとの連携可可料金要（従量課金）不要

Slide 16

Slide 16 text

16 VS Network ACL

Slide 17

Slide 17 text

17 VS Network ACL Network ACL ・VPCサブネットにアタッチして使用する仮想ファイアウォール・接続元IPアドレスでのアクセス制御を行う・ルールはステートレス・追加料金は無し

Slide 18

Slide 18 text

18 VS Network ACL AWS WAF Network ACL 対象のネットワークレイヤー L7 L3 – L4 主な役割 Webアプリケーションへの通信の検査、Webアプリケーションの保護接続元IPアドレスでのアクセス制御構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ VPCサブネットにアタッチ AWS Firewall Managerとの連携可不可料金要（従量課金）不要

Slide 19

Slide 19 text

19 VS AWS Shield

Slide 20

Slide 20 text

20 VS AWS Shield AWS Shield ・DDoS攻撃からの保護に特化したマネージドサービス・追加料金無しで使えるStandard ・定額料金(+データ転送料)を支払うことで使用可能な Advanced ・Standardに関してはAWSを利用している時点で適用済み

Slide 21

Slide 21 text

21 VS AWS Shield AWS WAF AWS Shield 対象のネットワークレイヤー L7 L3 - L4 (AdvancedはL7も) 主な役割 Webアプリケーションへの通信の検査、Webアプリケーションの保護 DDoS攻撃からの保護構成 CloudFront、ALB、API Gateway、 AppSyncにアタッチ CloudFrontやRoute53、 ELBなどを保護 AWS Firewall Managerとの連携可可料金要（従量課金）不要 Advancedは要(定額)

Slide 22

Slide 22 text

22 比較まとめ AWS WAF AWS Network Firewall Security Group Network ACL AWS Shield 対象のネットワークレイヤー L7 L3 - L7 L3 – L4 L3 – L4 L3 - L4 (AdvancedはL7も) 主な役割 Webアプリケーションへの通信の検査、 Webアプリケーションの保護トラフィック検査とフィルタリング侵入防止接続元IPアドレスなどでのアクセス制御接続元IPアドレスでのアクセス制御 DDoS攻撃からの保護構成 CloudFront、ALB、 API Gateway、 AppSyncにアタッチ VPCサブネットに配置（ルーティング変更が必要） VPC内リソースのENIにアタッチ VPCサブネットにアタッチ CloudFrontやRoute53、 ELBなどを保護 AWS Firewall Managerとの連携可可可不可可料金要（従量課金）要（従量課金）不要不要不要 Advancedは要(定額)

Slide 23

Slide 23 text

No content