Imperva SecureSphereでAWS AutoScaling対応のWAF構築 #1概要
ども、大瀧です。
Webアプリケーションへの攻撃対策としてWAF(Web Application Firewall)が広く利用されるようになりました。AWSでホストするWebシステムでもWAFが求められる案件が最近増えてきている反面、WAFプロダクトによってはAWSの各サービスとの組み合わせに制約がありAWSの伸縮性や柔軟性が生かせないケースもあります。そこで今回は、AWSサービスとの親和性が高いWAFプロダクトとしてImperva SecureSphereによるELB&Auto Scalingを組み合わせた構成をご紹介します。
Imperva社のWAFプロダクト
Imperva社のWAFプロダクトは2014年のガートナー社WAF Magic Quadrantでリーダーに位置づけられている、ワールドワイドでは著名な製品です。クラウド(SaaS)型WAFのIncapsulaとアプライアンス型WAFのSecureSphereの2ラインがあります。ざっくり表にまとめてみました。
| 項目名 | Incapsula | SecureSphere |
|---|---|---|
| 形態 | クラウド(SaaS)型 (Imperva社のデータセンターで稼働する共用のWAF) |
アプライアンス型 (AWS上にEC2インスタンスとして実行するユーザー専用のWAF) |
| WAFインスタンスの運用 | 不要 | 必要 |
| キャパシティ管理 | 不可 (プラン毎に定義) |
可能 (WAFインスタンスのタイプ変更、台数追加) |
| 機能 | CDN/DDoS対策など多彩 | 特化された、高度なWAF機能 |
| コスト | サービス利用費(無償〜) | インスタンス実行費用+ライセンス(年額$15,700〜) |
形態・構成イメージだと以下のような感じです。
Incapsulaは弊社エンジニアの梶が別エントリーで取り上げているので、今回はアプライアンス型のSecureSphereを利用してみます。
SecureSphere on AWS
AWS環境でのSecureSphereの実行のために、以下を利用することができます。
- SecureSphereインストール済みのMarketplace AMI
- AMIをEC2インスタンスとして起動するためのCloudFormationテンプレート
MarketplaceのAMIは、ライセンス形態によってBYOLとOn Demandの2種類から選択します。サポート要件やAuto Scalingの対応が異なるため事前に確認しておきましょう。CloudFormationテンプレートもユーザーデータによるライセンス処理などでBYOLとOn Demandが別になっており必須ではありませんが、Auto Scaling対応のために様々なAWSコンポーネントを利用すること、既存VPCに組み込めるようになっていることから、このCloudFormationによるデプロイをお奨めします。
AWS環境でのSecureSphereの標準構成を以下の通り示します。
CloudFormationテンプレートとの対応とセットアップ手順は次回に譲るとして、EC2でWAFを実行するだけでなくELB、Auto ScalingなどAWSサービスと連携する仕組みを持つ様子を図から感じ取っていただければと思います。
次回はセットアップ手順をご紹介します!乞うご期待!
