[レポート] CTD201: 各レイヤーにおけるAWS上のアプリケーション保護 #reinvent

re:Invent 2018から、CTD201: 各レイヤーにおけるAWS上のアプリケーション保護 についてレポートします。
2018.11.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

西澤です。re:Invent初参戦です。本稿では、以下のセッションについてレポートします。

セッション概要

This is a practical demo-driven session where you will learn about the best practice to protect applications on AWS. We will give an overview of the threats on AWS, discuss why perimeter defense helps with these threats, and discuss some key techniques that use services such as Amazon CloudFront, Route 53, and WAF to protect your web applications. Lastly, you will learn about the best practices to protect different types of applications - Web/APIs, TCP-based, or Gaming.

レポート

  • 各レイヤーにおけるセキュリティ
    • WEBアプリケーションの課題
      • 多様なアプリケーション
      • 複雑性が増している
      • 開発プロセスの変化
    • WEBアプリケーションにおける最大の脅威
      • DDoS
      • アプリケーション脆弱性
      • Bot
    • セキュリティは常に優先度が最も高い
    • 3層でのセキュリティ
      • 外部にさらされる部分をおさえつつセキュアにコンテンツ配信
      • Firewallにより特定の脆弱性を防御
      • DDoS対策による可用性へのインパクト緩和
  • CloudFront層
    • キャッシュによる性能向上に加えて、セキュリティ強化も可能
    • Amazon CloudFrontが持つセキュアなグローバルネットワーク
    • アクセス経路が階層化されることにより外部脅威からの影響を抑えることができる
      • S3を中心とするスタティックコンテンツはもちろん
      • オリンピックやワールドカップ、Amazon Primve Videoでも活用されているビデオコンテンツ
      • WebSocketサポートも新機能として追加されたばかり
    • 通信の暗号化
      • SSLの利用がスタンダードに
      • CloudFrontのTLS/SSLオプション
        • Default CloudFront SSL
        • SNI custom SSL(ACM利用可)
        • Dedicated IP custom SSL(ACM利用可)
    • コンテンツを暗号化することで内部から情報参照も制限
    • 外部配信における制限
      • Signed URL
      • Signed cookie
      • Geo Restriction
    • 正規の経路外からのオリジン参照も制限する
      • S3オリジンではOrigin Access Identityを利用
      • カスタムオリジンではCloudFront IPレンジでホワイトリスト管理
  • Firewall層
    • WAFに必要な機能
      • 基本的なセキュリティ対策を簡単に
      • アプリケーションに応じたカスタマイズ
      • 分析してフィードバック
      • 新しい脅威にも自動的に対応
    • AWS WAFのManaged rulesを活用する
      • セキュリティの専門業者がルールを作成
      • 従量課金で利用できる
      • デプロイが容易
      • 複数の選択肢
    • WAFの分析
    • WAFの自動化
  • DDoS対策
    • DDoS対策として必要な要素
      • アーキテクチャの変更は最小限に
      • 運用負荷を最小化
      • 可視性、分析できる
      • ビジネスインパクト
    • AWS Shiled
      • 1000/日のDDoS攻撃を緩和している
      • AWS Shield Standard
        • レイヤー3、4での全員が利用できる保護
      • AWS Shield Advanced
        • より高機能なレイヤー7での保護
        • 検知
        • 緩和
        • 24/365でDDoS Response Teamが対応
      • 直近での大規模な攻撃も未然に防ぐことができた
        • 2018年3月に1.4Tbpsのmemcachedリフレクション攻撃
        • 2018年11月に20,0000,000リクエスト/秒の攻撃

  • その他の特殊なケース
    • サーバーレス/API
      • AWS Shieldに加えて、AWS WAFがAPI Gatewayでも利用可能に(新機能)
    • TCPトラフィック(HTTP以外)
      • AWS Shield Advancedに加えて、NLBを利用
    • UDP利用
      • EC2に直接、AWS Shield Advancedをかぶせる

まとめ

AWS上で構築したWEBアプリケーションの外部脅威対策について、各レイヤーでどのようなことを考えなければいけないのか、よくまとめられたセッションでした。AWS ShieldやFirewall Manger、AWS WAFのManaged Rule、等、ユーザ側で本来必要となるセキュリティ運用を任せられるのは本当にありがたいです。