Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS WAF BotControlを本番環境に導入してみた

Ryuji Yamamoto
July 28, 2022
Technology
0
750

AWS WAF BotControlを本番環境に導入してみた

7/28 JAWS-UG 初心者支部#49 夏の大LT大会 ~Summer of WonderfuLT~
https://jawsug-bgnr.connpass.com/event/253677/

Ryuji Yamamoto

July 28, 2022
Tweet

More Decks by Ryuji Yamamoto

See All by Ryuji Yamamoto
AWS Fault Injection Simulator (FIS) のネットワーク接続中断アクションで リージョン間フェイルオーバーを試してみた
yama1998
0
660

Other Decks in Technology

See All in Technology
TransitGatewayの基礎
toru_kubota
0
230
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
4
110
エンタープライズ環境下での Active Directory の運用 TIPS
tamaiyutaro
1
1.6k
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
0
160
AIQ株式会社 エンジニア向け会社紹介資料
aiqlab
0
370
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
14
35k
「手動オペレーションに定評がある」と言われた私が心がけていること / phpcon_odawara2024
blue_goheimochi
2
320
テストプロセスで大事にしていること #jasstnano
makky_tyuyan
0
130
現代CSSフレームワークの内部実装とその仕組み
poteboy
2
760
Tableau事例紹介 / Tableau Case Study of Eureka
kazuya_araki_tokyo
1
170
人間の尊厳、幸福、アクセシビリティ / 第116回「WEB TOUCH MEETING」アクセシビリティSP
nulabinc
PRO
2
180
インシデントレスポンスのライフサイクルを廻すポイントってなに / Pinpoints of Incidentresponse Lifecycle for Operation
sakaitakeshi
1
300

Featured

See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
273
13k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k
Fireside Chat
paigeccino
20
2.6k
Gamification - CAS2011
davidbonilla
76
4.6k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
186
16k
Making the Leap to Tech Lead
cromwellryan
123
8.5k
Building a Scalable Design System with Sketch
lauravandoore
455
32k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
1
3.4k
Bash Introduction
62gerente
604
210k
What’s in a name? Adding method to the madness
productmarketing
PRO
15
2.6k
What's new in Ruby 2.0
geeforr
337
31k

Transcript

  1. AWS WAF BotControlを本番環境に導入してみた

  2. JAWS-UG 初心者支部勉強会#49 アジェンダ • 自己紹介 • AWS WAF BotControlとは •

    導入した背景 • Bot Controlで見れる情報 • Bot Controlのルール設定 • 導入する際の注意点 • 導入してみた感想

  3. JAWS-UG 初心者支部勉強会#49 自己紹介 名前: 山本竜司 経歴:新卒でアイレット株式会社に入社 現在3年目 業務:AWSを用いたインフラの構築、運用保守 一言:外部LTは初めてでとても緊張しています…

  4. JAWS-UG 初心者支部勉強会#49 今回テーマに選んだ理由 • 少し前にAWS WAF BotControlを導入した案件があった • 社内やブログで導入してみたという話しをあまり見かけなかった AWS

    WAF BotControlの使い勝手だったり、感想をお話しできればと思います

  5. JAWS-UG 初心者支部勉強会#49 AWS WAF BotContorol AWS WAF BotControlとは • AWS

    WAFマネージドルールの1つ • WAFでBotからのアクセスの可視化、制御が可能 • WAFが導入できる環境なら、簡単にBot対策が可能に

  6. JAWS-UG 初心者支部勉強会#49 導入した背景 • Botからのアクセスで負荷が上がる ◦ 原因の調査、対策 • WAFが導入できる環境 •

    導入も簡単で、比較的安価に利用できる サブスクリプション料金 リクエスト料金 Bot Control 10.00 USD/月 検査するリクエスト 100 万件ごとに 1.00 USD

  7. JAWS-UG 初心者支部勉強会#49 Bot Controlで見れる情報 
 Bot Controlを設定すると下記の情報をWAFコンソールから見る事ができる
 
 1. 通常のリクエストとBotからのリクエストの比率

    2. Botからの許可したリクエスト数と、拒否したリクエスト数
 3. Botのカテゴリ別リクエスト数 4. 特定のBotのリクエストの数 実際のコンソール画面

  8. • 通常のリクエストとBotからのリクエストの比率 ◦ 全体のリクエストからどれくらい Botからのアクセスがあるのか把握できる • Botからの許可したリクエスト数と、拒否したリクエスト数 ◦ WAFのルール設定を適用して、どれくらいのリクエストが拒否されているかが把握できる Bot

    Controlを入れて分かる事

  9. • Botのカテゴリ別リクエスト数 
 ◦ WAF側でBotのカテゴライズ化がされている 
 
 Bot Controlを入れて分かる事 カテゴリの詳細

  10. • WAF側で定義されたBotのカテゴリー ◦ ルール設定でカテゴリー毎に許可、拒否が可能 Bot Controlを入れて分かる事

  11. • 特定のBotからのリクエスト数
 ◦ カテゴリより詳細な情報を知りたい場合 
 Bot Controlを入れて分かる事 プルダウンで特定の Botをフィルタリングできる

  12. JAWS-UG 初心者支部勉強会#49 Bot Controlのルール設定 • ルール設定でカテゴリー毎に許可、拒否が可能 
 • カテゴリー中の特定のBotを拒否する事も可能 


    • WAF側で正当なBotかどうかを検証してくれる 
 ◦ WAF側で検証済みのBotはデフォルトだと ブロックされない


  13. JAWS-UG 初心者支部勉強会#49 Github の自動デプロイ用 webhookのリクエストが弾かれた… 検証済みのBotはブロックされないと記載されていたので Botからのアクセスを全てBlockする設定にしていた 導入する際の注意点 脳死で全部Blockする設定にすると、どこに影響を与えるか分からない まずはCountモードでモニタリングをして様子を伺った方が良い

  14. JAWS-UG 初心者支部勉強会#49 導入する際の注意点 
 「SignalNonBrowserUserAgent」をBlockする設定にすると、
 curlやwgetなどのコマンドからのリクエストも弾かれてしまうので注意!
 (監視ツールからの外形監視も弾かれるかも…)


  15. JAWS-UG 初心者支部勉強会#49 導入してみた感想 • Botからのアクセスを可視化したい場合には便利 
 • 「Bot Controlを導入したからBot対策バッチリ!」というわけではない 


    ◦ どのBotが必要なのか精査したり、 ルールのチューニングが必要になる 
 • Countモードで集計したBotのリクエストを見ながら、ルールをチューニングする運用が良さそう