AWS WAFとTrend Micro Deep Securityによるフルスタック防御について #reinvent

WAFの位置づけ

AWS WAFが発表されたとき、セキュリティベンダーが一瞬ざわついたかと思います。しかし、AWS WAFの機能や位置づけが紹介されてくるにつれ、中身を良く理解し、それぞれのセキュリティベンダーのポジションを考える良い機会となりました。今回は、トレンドマイクロのDeep Securityにフォーカスついてご紹介したいと思います。

OSI参照モデル

情報処理試験で最初に学ぶ誰もが知っている言葉ですね。コンピュータなどの通信機器が異機種間で通信をするために持つべき機能を7階層に分けています。ISO規格やITU-T勧告で定められています。

AWS WAFの動作

AWS WAFは、CloudFrontへの全てのリクエストに対して、ルールに基づいた評価を行い、通信を継続するかドロップするか判定します。IP、HTTP/Sについて用いることができます。これにより、SQLインジェクション、クロスサイトスクリプティング（XSS）など、一般的なWeb攻撃をブロックすることができます。そして、利用者はこれらをカスタマイズすることができます。言い換えれば、AWS WAFが何もかもよろしくやってくれるわけではなく、ある程度自ら考えて設定する必要があるのではと思います。例えば、IPレピュテーションなどは、怪しいヤツからの連絡自体を拒否するという強いブロックです。

OWASP TOP 10 (2013)

OWASP TOP 10では、最近のWebアプリケーションにおけるありがちな脆弱性について公開しています。これらをざっくり押さえておくことで、セキュリティリスクを減らすことができるかもしれません。

ランク	名前	例
A1	インジェクション	SQL、OS、LDAP等
A2	認証とセッション管理の不備	パスワード、鍵、トークン
A3	クロスサイトスクリプティング	エスケープ漏れによるWeb改ざん
A4	安全でないオブジェクトの直接参照	DB名など内部情報が意図せず見える
A5	セキュリティの設定ミス	デフォルト設定のまま
A6	機密データの露出	個人情報、クレジットカード番号
A7	機能レベルアクセス制御の欠落	管理者UIが見える
A8	クロスサイトリクエストフォージェリ	偽造HTTPリクエスト
A9	既知の脆弱性を持つコンポーネントの使用	メンテされてないアプリの利用
A10	未検証のリダイレクトとフォワード	フィッシング、マルウェアサイト

Deep Security

トレンドマイクロのDeep Securityは、OSI参照モデルにおける、4,5,6層をチェックするソフトウェアです。AWSは、今まで1,2,3層を見ていました。そして、AWS WAFによって、7層を見るようになりました。

まとめ

AWS WAFが出た時、「これだけでいいんじゃない？」と思った方も多い方も多いかと思います。しかし、そんなに簡単なことでもなく、様々な攻撃パターンを理解したうえで、取るべきアクションを選択する必要があります。Deep Securityをはじめさまざまなセキュリティベンダーは、日々更新される様々な攻撃に対して対策を打っています。これら専門ベンダーのツールと、AWSが提供する基本サービスを組み合わせることで、より安全なWebアプリケーションを運用できるかと思います。フルスタックに防御する考え方を押さえておきましょう！！

参考資料

OWASP Top 10 2013 - Japanese (PDF)

AWS WAF and Deep Security