Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WafCharm使ってみた
Search
Tsukasa_Ishimaru
August 28, 2024
Technology
0
180
WafCharm使ってみた
Tsukasa_Ishimaru
August 28, 2024
Tweet
Share
More Decks by Tsukasa_Ishimaru
See All by Tsukasa_Ishimaru
Aurora_BlueGreenDeploymentsやってみた
tsukasa_ishimaru
1
170
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
5
1.8k
AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた
tsukasa_ishimaru
0
150
AWS Application Composer使ってみた
tsukasa_ishimaru
0
250
AWSコスト削減~EC2・RDS自動起動・停止~
tsukasa_ishimaru
0
300
Other Decks in Technology
See All in Technology
スキルだけでは満たせない、 “組織全体に”なじむオンボーディング/Onboarding that fits “throughout the organization” and cannot be satisfied by skills alone
bitkey
0
160
PHPで印刷所に入稿できる名札データを作る / Generating Print-Ready Name Tag Data with PHP
tomzoh
0
180
データベースの負荷を紐解く/untangle-the-database-load
emiki
2
470
AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策
umekou
2
140
AIエージェント元年
shukob
0
150
組織におけるCCoEの役割とAWS活用事例
nrinetcom
PRO
4
120
【内製開発Summit 2025】イオンスマートテクノロジーの内製化組織の作り方/In-house-development-summit-AST
aeonpeople
2
570
Visualize, Visualize, Visualize and rclone
tomoaki0705
9
80k
Potential EM 制度を始めた理由、そして2年後にやめた理由 - EMConf JP 2025
hoyo
2
2.4k
Windows の新しい管理者保護モード
murachiakira
0
200
OSS構成管理ツールCMDBuild を使ったAWSリソース管理の自動化
satorufunai
0
600
CDKでカスタムランタイムを作成して、Lambdaをnode.js23+TypeScriptで動かしてみた
smt7174
2
100
Featured
See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3k
The World Runs on Bad Software
bkeepers
PRO
67
11k
Adopting Sorbet at Scale
ufuk
74
9.2k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Designing for Performance
lara
604
68k
Rails Girls Zürich Keynote
gr2m
94
13k
BBQ
matthewcrist
87
9.5k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Faster Mobile Websites
deanohume
306
31k
Bootstrapping a Software Product
garrettdimon
PRO
306
110k
Writing Fast Ruby
sferik
628
61k
Transcript
WafCharm使ってみた 2024年8月28日 株式会社セゾンテクノロジー クラウドLT大会 vol.10 石丸 司 1
目次 1.自己紹介 2.課題設定 3.解決方法 4.設定してみた 5.使ってみた 6.良いところ 7.悪いところ 8.おわりに 2
1. 自己紹介 ▪氏名:石丸司(いしまるつかさ) ▪所属:セゾンテクノロジー ▪経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 :
基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ▪最近の活動 Japan AWS Top Engineers選出を目指し、 資格取得、Qiita投稿・LT登壇などを実施中 @tsukasa_aws 3 @Tsukasa_Ishimaru
2. 課題設定 ・インターネットに公開されたWEBシステム基盤を構築していて、 AWS WAFは導入したけど、運用を設計しきれていない ・AWS WAFは導入しているけれど、セキュリティ専任チームもいなくて、 定期的な最新ルールの差し替え等の作業は、 正直放置している 4
ここのお話
3. 解決方法 使用するサービス(AWS外部) ブロックルールの自動更新 ブラックリストへの自動登録 サポートによるトラブル発生時での、 原因特定やルール調整 5 https://www.wafcharm.com/jp/
3. 解決方法(続き) WafCharm導入後の構成イメージ 6 ①ログ出力 ②ログ連携 ③ルール更新
4. 設定してみた ①マーケットプレイスでWafCharmをサブスクライブ ②リンクからWafCharmのアカウント登録 ③Credential登録(WafCharm用IAMロール作成・登録) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 7 設定の流れ
4. 設定してみた(続き) ①マーケットプレイスでWafCharmをサブスクライブ 8 利用時間による従量課金 + アクセス数に応じた課金
4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録 9
4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録(続き) 10
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 11 json形式の信頼ポリシーが生成される
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 12 ・AmazonS3ReadOnlyAccess ・AWSWAFFullAccess ・CloudWatchReadOnlyAccess WafCharm管理画面で生成した 信頼ポリシーをコピペ
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 13
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 14
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 15
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 16
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 17
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 18
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 19
5. 使ってみた ①どれほど攻撃がきているのか確認 20
5. 使ってみた(続き) ②WAFログ確認 21
5. 使ってみた(続き) ②WAFログ確認 22
4. 使ってみた(続き) ③ブラックリストへの手動登録 23
4. 使ってみた(続き) ③ブラックリストへの手動登録 24
5. 使ってみた(続き) ③ブラックリストへの手動登録 25 登録前 登録後
5. 使ってみた(続き) ④月次レポート確認(レガシーver.) 26
6. 良いところ ・導入が簡単 30分程で完了 ・ルールの自動更新 AWS WAF:定期的に手動で更新が必要(適用するルールの選定も必要) ⇒誤検知等のトラブルが起きない限り、ほったらかしでOK ・WafCharm管理画面でWAFログの参照ができる AWS
WAF:Athenaのクエリを事前に用意してログの検索・参照を行う ⇒管理画面でログの検索・参照ができる ・月次レポート お客様へのレポート提出が必要な場合、そのまま提出可能 27
7. 悪いところ 28 ・環境(AWSアカウント)毎にWafCharmの利用料を分割できない マーケットプレイス経由で購買した場合、WafCharmの利用料は、 サブスクリプションしたAWSアカウントに全額請求される。 →環境毎に分割するには、環境毎にWafCharmのアカウントが必要 ・設定時にエラーが発生した場合、エラーメッセージが何も表示されない CloudTrailの証跡を参照してユーザー名:wafcharmで絞り込んで確認する必要あり →・WAFログ格納先のS3バケットポリシーで権限制限
・WAFログ格納先のS3バケットをカスタムKMSで暗号化&権限制限 →S3バケットとKMSのリソースベースポリシーに、 WafCharm用IAMロールへの許可設定が必要だった
8. おわりに • WafCharmを導入して、WAFの運用作業から解放されましょう 29
ご清聴ありがとうございました 30
tsukasa_ishimaru
bitkey
tomzoh
emiki
umekou
shukob
nrinetcom
aeonpeople
tomoaki0705
hoyo
murachiakira
satorufunai
smt7174
mongodb
philnash
bkeepers
ufuk
marcelosomers
lara
gr2m
matthewcrist
keithpitt
deanohume
garrettdimon
sferik
