AWS WAF と Datadog ASM で実現する アプリケーションセキュリティ 26th Aug, Security-JAWS DAYS Kento Kimura

● 職種：Sales Engineer ● 担当：パブリッククラウドのアーキテクト知識を活かした 　Observability の導入技術支援 ● 資格：AWS 全 12 資格、Google Cloud 全 11 資格、Azure 13 資格 ● 表彰：2022-23 Japan AWS All Certifications Engineer 　　　2023 Japan AWS Jr.Champion 　　　Google Cloud Partner Top Engineer 2023 木村 健人 (Kento Kimura) Datadog Japan GK 𝕏 ：@AoToLog_ History データセンター運用保守 → パブリッククラウド技術支援 → プリセールス技術支援 Community Jagu’e’r デジクラ人材育成 / o11y-SRE 分科会 運営メンバー AWS Jr.Champions Meetup / JAWS 登壇に挑戦中 Partner Top Engineer 2023 自己紹介

話すこと・話さないこと 話すこと ● 多層防御の一側面 ● アプリケーションセキュリティの一側面 ● AWS WAF と Datadog ASM の役割 話さないこと ● 多層防御の全体像 ● アプリケーションセキュリティの全体像 ● AWS の包括的なセキュリティ Datadog のセキュリティ製品の全体像には Security-JAWS【第29回】 勉強会 のアーカイブ動画 と資料をご覧ください！→

概要 1 多層防御とAWS W-A Framework 2 アプリケーションセキュリティ 3 AWS WAF と Datadog ASM 4 AWS アーキテクチャ 5 まとめ

多層防御と AWS W-A Framework

多層防御について NIST(National Institute of Standards and Technology) 人材・テクノロジー・運用能力を統合して、組織の複数の層とミッションにわたって 可変の障壁を確立する情報セキュリティ戦略 IPA サイバー攻撃を情報システムと外部環境との接続点で防御しきることは不可能であること を前提にセキュリティ対策を組み合わせ、一つの対策が破られても次の対策で防御する、 あるいは防御しきれなくてもインシデントを速やかに検知するといったアプローチ アプリケーション層におけるセキュリティ対策においても、 単一の対策でなく複数の対策を組み合わせることが重要 “ “ “ “

AWS Well-Architected Framework クラウド上でワークロードを設計および実行するための 主要な概念・設計原則・アーキテクチャのベストプラクティス コスト最適化 の柱 パフォーマンス 効率の柱 信頼性の柱 セキュリティの柱 オペレーショナル エクセレンスの柱 持続可能性の柱

AWS Well-Architected Framework Security Pillar 7つの大項目・11の小分類・65のベストプラクティス(2023/4/10版) セキュリティの基礎・ID とアクセス管理・検知・インフラストラクチャ保護・データ保護・インシデント対応・アプリケー ションのセキュリティ インフラストラクチャ保護(Infrastructure protection) ● SEC05-BP02 すべてのレイヤーでトラフィックを制御する アプリケーションのセキュリティ(Application security) ● SEC11-BP05 パッケージと依存関係のサービスを一元化する ● SEC11-BP08 ワークロードチームにセキュリティのオーナーシップを根付かせるプログラムを構築する

AWS Products for Infrastructure Protection Standard は自動的に組み込まれた DDoS 攻撃を保護するサービス Advanced は個々のリソースに対し拡張 DDoS 攻撃保護を実現し、高度なイベ ント可視性と SRT の専用サポートが利用可能 AWS Firewall Manager AWS Shield AWS WAF AWS Network Firewall AWS WAF, Amazon VPC SG, AWS Network Firewall などの様々な保護に 利用できる、管理とメンテナンスのタスクを簡素化するサービス Web アプリケーションリソースに転送される HTTP / HTTPS リクエストを監視し、 コンテンツへのアクセスを制御しリソースを保護できるサービス VPC 向けのステートフル/ステートレスなマネージド型 ネットワークファイアウォー ル・IDS/IPS サービス

アプリケーションセキュリティ

アプリケーションセキュリティツール ランタイム保護ツール アプリケーション保護・セキュリティ管理 ● WAF(Web Application Firewall) ● Bot Management(ボット管理) ● RASP(Runtime Application Self Protection) セキュリティスキャンツール アプリケーションの開発・設計段階のセキュリティ強 化 ● DAST(Dynamic Application Security Testing) ● IAST(Interactive Application Security Testing) ● SAST(Static Application Security Testing) ● SCA(Software Composition Analysis) セキュリティ上の問題を検出・修正・防止し、アプリケーションのセキュリティを 向上するためのツール群

インジェクション ● SQL インジェクション(SQLi) ● OS コマンドインジェクション ● コードインジェクション ● クロスサイトスクリプティング(XSS) アクセス制御の不備 ● パス(ディレクトリ)トラバーサル ● オープンリダイレクト ● クロスサイトリクエストフォージェリ(CSRF) 一般的な Web アプリケーション攻撃・脆弱性 参照：「OWASP Top 10 -2021」https://owasp.org/Top10/ja/ + サーバーサイドリクエストフォージェリ(SSRF)

一般的な Cloud WAF の役割 Cloud WAF はWeb アプリケーションへの攻撃や脆弱性に対し、エッジでの防御を行える そのため、リバースプロキシや DDoS 攻撃対策としても利用することができる しかし、全ての攻撃・脆弱性に対処できる完璧な Cloud WAF のルールは存在しない Cloud WAF でルールを厳しくしても誤検知が発生し、ゼロデイ攻撃への対応は困難 特にマイクロサービス化されたシステムは、実際に Web アプリケーションに攻撃が行われているかど うかを把握するためにも、アプリケーションサーバー側でのセキュリティ対策も重要

AWS WAF と Datadog ASM

AWS WAF(Web Application Firewall) Web アプリケーションに到達前の HTTP/HTTPS リクエストをルールベースで制御 ● ウェブアクセスコントロールリスト(ウェブ ACL) 　　　　　　 ➕ ● ルール(グループ) ○ マネージド：AWS, AWS Marketplace 販売者が提供 ■ AWS WAF Bot Control：さまざまなカテゴリのボットを検出して処理するマネージドルール ○ 独自 引用：「AWS WAF」https://aws.amazon.com/jp/waf/

Datadog ASM(Application Security Management) Web アプリケーションに到達したリクエストをコンテキストベースで管理 Datadog ASM のルールに合致したトレースは、Security Signal として検出 ● OOTB ルール ● カスタム検出ルール 上記のルールの他に攻撃を試みた痕跡を発見し、監視・ブロックのアクションを行える ● In-App WAF ルール ○ インジェクション攻撃 ○ 攻撃ツールなどの検知 引用「Datadog における Application Security Management の仕組み」https://docs.datadoghq.com/ja/security/application_security/how-appsec-works/

Datadog ASM In-App WAF Datadog 提供ポリシー OWASP ModSecurity CRS を含む検出ルール URI/クエリ/パス/Cookie/HTTP body 等を元に検出 ブロック・監視・無効化 攻撃に対し、自動アクションを設定可能 関連するトレースを表示し影響を調査 カスタムルール 既知のアプリケーション攻撃の保護 柔軟なセキュリティポリシーの適用

AWS Cloud エッジとリージョンでの防御① CloudFront Edge location Region Application Load Balancer Amazon CloudFront Instances Lambda function Container 一般ユーザ 攻撃者 乗っ取り AWS WAF Rule Datadog ASM Protection API Gateway Endpoint

AWS WAF と Datadog ASM の統合 Datadog ASM で発見した攻撃者を、IP アドレスベースで AWS WAF でブロック Datadog Workflow Automation システムの健全性やセキュリティの問題に対処する自動ワークフローツール データ演算・論理演算子・分岐・決定を含む複雑なワークフローを構築可能 アプリケーションサーバーに到達していた不正なリクエストを、エッジで防御できる

悪意のあるIPを AWS WAF で 自動的にブロック ASM の security signal でトリガー Datadog ASM の OOTB ルールなどで検知した Security Signals を元に、Workflows をトリガー 攻撃者の IP アドレスを抽出 JavaScript ベースの処理を記述し、 攻撃者の属性情報から IP アドレスを抽出 AWS WAF のルールに追加 抽出された攻撃者の IP アドレスを AWS WAF API を利用して WAF Rule に追加

AWS Cloud エッジとリージョンでの防御② CloudFront Edge location Region Application Load Balancer Amazon CloudFront Instances Lambda function Container AWS WAF Rule Datadog ASM Threads 一般ユーザ 攻撃者 乗っ取り API Gateway Endpoint Datadog Workflow Automation 追加 トリガー

AWS アーキテクチャ

サーバレスアーキテクチャ AWS Cloud Region Lambda function API Gateway Endpoint Lambda function Lambda function DynamoDB Standard Access table class ユーザ AWS WAF Rule Datadog ASM Threads

オートスケーリング AWS Cloud Region ユーザ AWS WAF Rule Datadog ASM Protection Application Load Balancer Instances Instances Instances Amazon RDS instance Auto Scaling group

まとめ

まとめ ● 実働環境のアプリケーションセキュリティは Cloud WAF のみで実現できるものではなく、多層防御 の考えに基づいて複数のアプローチを組み合わせることが重要 ● Datadog ASM は Cloud WAF では対処しきれないアプリケーションへの攻撃を検知し、 WAF と連携して堅牢性を高めることができるプロダクト ● その他にも ASM を組み込むことで、オープンソースの脆弱性の検知や アプリケーションコードの脆弱性についても管理することができるようになっている ● Datadog のセキュリティにご興味があればデモブースまでお越しください

Thank you