WafCharm使ってみた

Transcript

1. WafCharm使ってみた 2024年8月28日 株式会社セゾンテクノロジー クラウドLT大会 vol.10 石丸 司 1

2. 目次 １．自己紹介 ２．課題設定 ３．解決方法 ４．設定してみた ５．使ってみた ６．良いところ ７．悪いところ ８．おわりに 2

3. １. 自己紹介 ▪氏名：石丸司（いしまるつかさ） ▪所属：セゾンテクノロジー ▪経歴 2017/4/1 ： 新卒入社 2017/7/1～2022/3/31 ：

   基幹システムのアプリ開発・維持保守 2022/4/1～ ： AWSインフラの構築・維持保守 ▪最近の活動 Japan AWS Top Engineers選出を目指し、 資格取得、Qiita投稿・LT登壇などを実施中 @tsukasa_aws 3 @Tsukasa_Ishimaru

4. ２. 課題設定 ・インターネットに公開されたWEBシステム基盤を構築していて、 AWS WAFは導入したけど、運用を設計しきれていない ・AWS WAFは導入しているけれど、セキュリティ専任チームもいなくて、 定期的な最新ルールの差し替え等の作業は、 正直放置している 4

   ここのお話

5. ３. 解決方法 使用するサービス(AWS外部) ブロックルールの自動更新 ブラックリストへの自動登録 サポートによるトラブル発生時での、 原因特定やルール調整 5 https://www.wafcharm.com/jp/

6. ３. 解決方法(続き) WafCharm導入後の構成イメージ 6 ①ログ出力 ②ログ連携 ③ルール更新

7. ４. 設定してみた ①マーケットプレイスでWafCharmをサブスクライブ ②リンクからWafCharmのアカウント登録 ③Credential登録(WafCharm用IAMロール作成・登録) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 7 設定の流れ

8. ４. 設定してみた(続き) ①マーケットプレイスでWafCharmをサブスクライブ 8 利用時間による従量課金 + アクセス数に応じた課金

9. ４. 設定してみた(続き) ②リンクからWafCharmのアカウント登録 9

10. ４. 設定してみた(続き) ②リンクからWafCharmのアカウント登録(続き) 10

11. ４. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 11 json形式の信頼ポリシーが生成される

12. ４. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 12 ・AmazonS3ReadOnlyAccess ・AWSWAFFullAccess ・CloudWatchReadOnlyAccess WafCharm管理画面で生成した 信頼ポリシーをコピペ

13. ４. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 13

14. ４. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 14

15. ４. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 15

16. ４. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 16

17. ４. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 17

18. ４. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 18

19. ４. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 19

20. 5. 使ってみた ①どれほど攻撃がきているのか確認 20

21. 5. 使ってみた(続き) ②WAFログ確認 21

22. 5. 使ってみた(続き) ②WAFログ確認 22

23. ４. 使ってみた(続き) ③ブラックリストへの手動登録 23

24. ４. 使ってみた(続き) ③ブラックリストへの手動登録 24

25. 5. 使ってみた(続き) ③ブラックリストへの手動登録 25 登録前 登録後

26. 5. 使ってみた(続き) ④月次レポート確認(レガシーver.) 26

27. 6. 良いところ ・導入が簡単 30分程で完了 ・ルールの自動更新 AWS WAF：定期的に手動で更新が必要(適用するルールの選定も必要) ⇒誤検知等のトラブルが起きない限り、ほったらかしでOK ・WafCharm管理画面でWAFログの参照ができる AWS

    WAF：Athenaのクエリを事前に用意してログの検索・参照を行う ⇒管理画面でログの検索・参照ができる ・月次レポート お客様へのレポート提出が必要な場合、そのまま提出可能 27

28. 7. 悪いところ 28 ・環境(AWSアカウント)毎にWafCharmの利用料を分割できない マーケットプレイス経由で購買した場合、WafCharmの利用料は、 サブスクリプションしたAWSアカウントに全額請求される。 →環境毎に分割するには、環境毎にWafCharmのアカウントが必要 ・設定時にエラーが発生した場合、エラーメッセージが何も表示されない CloudTrailの証跡を参照してユーザー名:wafcharmで絞り込んで確認する必要あり →・WAFログ格納先のS3バケットポリシーで権限制限

    ・WAFログ格納先のS3バケットをカスタムKMSで暗号化&権限制限 →S3バケットとKMSのリソースベースポリシーに、 WafCharm用IAMロールへの許可設定が必要だった

29. 8. おわりに • WafCharmを導入して、WAFの運用作業から解放されましょう 29

30. ご清聴ありがとうございました 30