Slide 1
Slide 1 text
AWS WAF と Certificate Manager の
アップデートを試してみた
クラスメソッド クラウド事業本部
荒平 祐次 / arap
Session 4
Slide 2
Slide 2 text
荒平 祐次 (Arahira Yuji)
クラスメソッド株式会社
クラウド事業本部 コンサルティング部
ソリューションアーキテクト
- 経歴
○ SIer (約5年)→クラスメソッド(約2年)
- 業務内容
○ AWS全般のインテグレーション・お悩み相談
○ ブログ執筆
- 趣味
○ Twitter (@0Air, @eiraces)
○ サイクリング、アクアリウム、VTuber鑑賞
○ ゲーム (FF14, League of Legends)
about me
Slide 3
Slide 3 text
Amazon Certificate Manager のアップデート
Slide 4
Slide 4 text
AWS Certificate Manager introduces public certificates you can use anywhere
(AWS Certificate Managerはどこでも使えるパブリック証明書を導入)
ACMの機能で証明書エクスポートが可能に
Slide 5
Slide 5 text
EC2で⼿軽に終端できるようになりました
CloudFront
Certificate Manager
Elastic Load
Balancing (ALB)
Amazon EC2
これまではACMからの
エクスポート不可
Amazon ECS
Slide 6
Slide 6 text
EC2で⼿軽に終端できるようになりました
既存にリリースされた
証明書のExportは不可
Slide 7
Slide 7 text
- パブリック証明書の有効期間は 395 日間(13ヶ月)
- 自動更新の場合、有効期限の60日前(11ヶ月目)に更新
- 価格
- FQDN ごとに $15
- ワイルドカード名ごとに $149
ざっくり概要
Slide 8
Slide 8 text
EC2でのTLS終端記事が出ています
Slide 9
Slide 9 text
ACM統合サービスで利⽤していない場合は注意
Slide 10
Slide 10 text
AWS WAF のアップデート
Slide 11
Slide 11 text
AWS WAF reduces web application security configuration steps and provides
expert-level protection
(新しいコンソールエクスペリエンス)
AWS WAF が自動アプリケーションレイヤー分散型サービス拒否 (DDoS) 保護のサポートを
開始
AWS WAF announces general availability of Resource-level DDoS protection for
Application Load Balancers (ALB)
(DDoS対応/リソース保護・マネージドルール)
AWS WAFに関する直近アップデートは2つ
Slide 12
Slide 12 text
まずはコンソールを⾒てください
Slide 13
Slide 13 text
⾒やすく、便利になっています
Slide 14
Slide 14 text
保護パックの選択 AWS WAF 新コンソールの「保護パック」を新規作成する時に、何をどう選択したら良いのか調べてみた
https://dev.classmethod.jp/articles/waf-protection-pack/
Slide 15
Slide 15 text
AWS WAFによるDDoS保護
by GPT Image 1
① リソースレベルの DDoS保護
・ALBで動作し、デフォルトではDDoS下でアクティブ
に(常時ONも可能)
・既知の悪意のあるリソースからレート制限
・AMRの料金を気にしなくて良い
② AWS マネージドルールグループ( AMR)の
DDoS保護
・「AWSManagedRulesAntiDDoSRuleSet」として
マネージドルールを選択可能
・感度を低/中/高で設定可能で、リクエスト毎にラベ
リング
・正規ユーザーのためにチャレンジ設定が可能
Slide 16
Slide 16 text
リソースレベルのDDoS保護
Slide 17
Slide 17 text
リソースレベルのDDoS保護
Slide 18
Slide 18 text
AWS WAFによるDDoS保護
by GPT Image 1
① リソースレベルの DDoS保護
・ALBで動作し、デフォルトではDDoS下でアクティブ
に(常時ONも可能)
・既知の悪意のあるリソースからレート制限
・AMRの料金を気にしなくて良い
② AWS マネージドルールグループ( AMR)の
DDoS保護
・「AWSManagedRulesAntiDDoSRuleSet」として
マネージドルールを選択可能
・感度を低/中/高で設定可能で、リクエスト毎にラベ
リング
・正規ユーザーのためにチャレンジ設定が可能
Slide 19
Slide 19 text
DDoSのマネージドルール(AMR)
Slide 20
Slide 20 text
- 毎度のことながら、英語版が優先されています
- リソースレベルのDDoS保護はAWS WAF料金に内包
- AMRのDDoS保護は20ドル+0.15ドル/100万req.
それぞれの料⾦
Slide 21
Slide 21 text
- AWS WAFを使ってL7レベルの保護を行っている、または行う予定
- AWS Shield Advanced ($3,000)ほどの規模ではないが、手軽にDDoS対策
をしたい
- とりあえずの安心感 を得ておきたい
→ DDoS対策について、一旦何も考えたくない・考える余裕のない事業者の方は一
旦入れておくことをオススメ
想定利⽤者
Slide 22
Slide 22 text
No content