[レポート]パブクラ上のアプリ、どう守る? WAF 先進事例から学ぶ、最新可視化・セキュリティ機能の動向 #AWSSummit

AWS Summit2018のセッション「パブクラ上のアプリ、どう守る? WAF 先進事例から学ぶ、最新可視化・セキュリティ機能の動向」のレポートです。マネージドルールを利用するか、EC2でWAF製品を構築するか検討されている方は要チェックです!
2018.05.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

こちらはAWS Summit2018で行われたセッション「パブクラ上のアプリ、どう守る? WAF 先進事例から学ぶ、最新可視化・セキュリティ機能の動向」のレポートです。

概要は下記のとおりです。

スピーカ: 野崎 馨一郎

F5ネットワークスジャパン合同会社 マーケティング本部 リージョナル・マーケティング・アーキテクト / エバンジェリスト、アジア太平洋地域、中国、日本

アプリケーションをパブクラに配備する、、、でも昔のデータセンタ基準の管理性、セキュリティの一貫性はマスト。はたまた、完全なクラウドネイティブアプリを直ぐに展開したい、、、でも強固なセキュリティも即時に確保したい。このようなインフラ基盤への期待が今、非常に高まっています。当セッションでは 「お?」と思わせるトラフィック管理や WAF などの活用の仕方を事例と共にご紹介し、真の意味でパブクラを使い倒す方法を聴講者の皆様と共に探ります!また、聴講者参加型の企画も準備しますのでお楽しみに!

レポート

  • 話す内容
    • 今どきのパブリッククラウド環境、みんなどんな感じ
    • 事例に見るクリティカルな業務基盤を外仏教位から守る成功例
  • 業界内の調査会社の見立て
    • 67%の経営層がデジタル化を喫緊の課題としてあげている
  • 日本のデジタル革命も始まっている
    • CDO(最高デジタル責任者)という役割も増えている
    • SOMPOさんとかでもある
  • 事例
  • マーケティングエージェンシー
    • 顧客向け業務アプリをパブリッククラウドに移行
    • マーケティング支援サービスが高度化、複雑化して従来とは違う業務アプリケーションの利用形態が進む
    • ブルートフォース攻撃を受けていて、これを解決することが課題になった
    • クラウド型マネージドWAFを配置した
    • AWSの手前において利用
    • とにかく対応する速度が必要だったためF5 SOCによるWAFの即時対応が評価された
    • 教訓: デジタル革命故に生まれる新しいセキュリティの考え方がある
      • アプリリリース速度を重視していたためセキュリティ部門との乖離が出てきた
  • WAFのおさらい
    • いろんな製品があり同じように聞こえるが、それぞれ守るものが違う
    • Firewallはネットワークを守るもの
    • IPSはサーバシステムを守る
    • WAFはWebアプリケーションを守る
  • ユーザ企業への意識調査ではWAFの重要性は7割が重要と回答した
  • しかし、WAFを導入している企業のうち4割は25%以下のアプリしか守っていなかった
  • 日本の企業でも質問したが、WAFを入れていてもどうなっているかわからない担当者が多い
  • AWSのWAFでよく聞く話
    • AWS標準のWAFがありますよね?
      • あるけど自分でルールを作る必要があり大変
      • 専門知識がないと作成できない
  • F5からの提案
    • AWS WAFのマネージドルールを利用する
      • F5もマネージドルールを提供している
      • セキュリティベンダーが作成した質の高いルールを利用できる
      • 専門知識がなくても利用できる
      • すぐに導入できる
      • ただ、機能は限定される
    • F5のWAFを導入する
      • より高度な機能を利用できる
      • マネージドルールで要件を満たせない場合はこちらを選択
  • マネージドルールの種類
    • F5 Rules for AWS WAF - Web exploits OWASP Rules
      • XSS/SQLiなどの一般的なWebアプリに対する攻撃を防御
    • F5 Rules for AWS WAF - Common Vulnerabilities and Exposures (CVE)
      • 既知の脆弱性に対する攻撃の防御
    • F5 Rules for AWS WAF - Bot Protection Rules
      • Botからの通信を防御
    • AWS WAFマネージドルールは現状1つしか同時に利用できないので注意
  • 日本の会社の事例
    • WAFのポリシーチューニングはかなり大変
    • 数百のシグネチャに引っかかっていて1つ1つ振り分けが辛かった
  • どうやって使いやすいものを利用するか
    • WAFの利用は全て大変ではない
    • 最初のチューニングは大変だが、それ以降はそこまでではない
    • チューニングを終えると9割のログがなくなる
  • 最近はAPI連携が進んでいる
    • JP MorganとFintech企業
    • APIを提供していてBotのトラフィックが急増、課金対象となるAPI間通信大量発生
    • Botもすべてが悪ではないのですべて止めたくはない
    • WAFのカスタマイズによりBotの中で通したいものだけ判別した
  • WAFやADCを「トラフィック量の最適化」として活用する、という新しい視点
    • トラフィックの中身に応じて適切に絞って料金を最適化したりできる
  • クラウドらしく、全てのトラフィックを一つのWAFで受けるだけではなく、それぞれのアプリの手前に配置することもできる
  • クラウドに適した提供方法もリリース予定

まとめ

AWS WAFマネージドルールも非常にいいものですが、それだけでは対応できない問題もいっぱいあります。

そういった場合にはセキュリティベンダーさんが提供しているWAFはいい選択肢になりますね。

F5さんのWAFも是非検討してみてはいかがでしょうか?

ちなみに、マネージドルールの方は下記も参考にしてください!

【機能追加】F5のAWS WAFマネージドルールがリリースされたのでXSS/SQLiを検知してみた