【レポート】AWS WAFマネージドルールの概要について #reinvent #SID217

こんにちは、臼田です。

今回はre:Invent 2017で行われたSID217 - NEW LAUNCH! Introduction to Managed Rules for AWS WAFについてレポートします。

各セキュリティベンダーのルールの詳細も公開されています!

レポート

  • AWS WAFのマネージドルールについて

  • このセッションで期待すること
    • AWS WAFについての導入
    • 何をローンチしたか
    • キーベネフィット
    • 製品の詳細
    • セットアップデモ

AWS WAFについての導入

  • (一般的な)WAFとはなにか
    • Web Application Firewallの略
    • HTTP/S通信をモニタリングして不正な動作から守る
    • L7に対する攻撃への監視や緩和を行う
    • 筆者注釈: WAFだけでL7への攻撃を完全に防御できるものではないことは重要な考え方です。基本的にセキュリティは多層防御で考える必要があります。

  • AWS WAFとはなにか
    • 不正なリクエストをブロックする
      • SQLインジェクションやXSS
    • カスタムルールによるWebトラフィックのフィルタリング
      • Rate basedルール
      • IPマッチング & Geo-IPフィルター
      • 正規表現 & 文字列一致
      • サイズ制限
      • 許可/拒否アクション
    • アクティブモニタリング
      • CloudWatch メトリクス/アラーム
      • Sampled Logs (検知後3時間保持されている詳細なWAFの動作ログ)
      • カウントモード(不正と判断される通信をブロックせずにカウントのみ行う、誤検知調整として本番導入前などに実施する)

  • AWS WAFは何をしてくれるのか
    • DDoS対策
      • HTTP floods攻撃対策
      • 筆者注釈: AWS WAFはL7で動作するためHTTPのみですが、低レイヤー(L3, L4)へのDDoSはCloudFrontやELBで防御されます
    • アプリケーションへの攻撃
      • SQLインジェクション
      • アプリケーションエクスプロイト
      • ソーシャルエンジニアリング
    • 悪質なボット対策
      • クローラ
      • スクレイパー(スクリプトでwebサイトを巡回して必要情報を機械的に取得する)
      • スキャン & プローブ(攻撃の前調査)

  • なぜAWS WAFをローンチしたか
    • 以下のようなお客様の声があった
      • (WAFのために)サーバを管理したくない
      • 高いお金を払いたくない(一般のWAF製品の一部は非常に高価なため)
      • DevOpsのために(WAFを)フルAPIで管理したい
    • 簡単にデプロイできるように

  • 利用者はAWS WAFの何が好きか
    • 簡単なデプロイ
    • 速いインシデントレスポンス
    • パワフルでフレキシブルなルール設定
    • セキュリティオートメーション
    • 手頃な価格
    • (プレ設定のテンプレート)
      • これは本当に気に入られていたわけではない

  • しかし、テンプレートを良くすることはやめた
  • 以下のようなお客様の声があったからだ
    • セキュリティルールじゃなくてWebアプリケーションを書くことに集中したい
    • 攻撃者に追いつくためにルールを書くリソースはない
    • 高価なプロフェッショナルサービスを契約してルールを書いたりチューニングしたくない

マネージドルールのリリース

  • というわけでAWS WAFのマネージドルールをリリースした
  • 5つのセキュリティベンダーからルールが出ている

  • ベンダー一覧
    • Imperva
    • TrendMicro
    • Alert Logic
    • Fortinet
    • Trustwave

  • マネージドルールとは
    • 信頼できるセキュリティベンダーが設定&管理するルールをマーケットプレイスで公開
    • AWS WAFに適用することができる

マネージドルールのベネフィット

  • ルールに信頼がおけるブランド名がつく
  • 自身の脅威情報を収集するチームが必要無い
  • 独自ルールを書く必要性を減らす
  • お客様のためのソリューション構築に専念できる

  • 幅広い選択肢がある
    • 5つのベンダー
    • 11の製品(ルール)

  • 自動的なアップデード
    • 新しい脅威から確実に守る
    • セキュリティリサーチチームが定期的にルールの監視、調整、更新を行う
    • ルールの更新は数分で完了する
    • アップデードに追加コストは必要無い

  • 従量課金
    • 手頃な価格で従量課金
    • 製品の契約不要
    • プロフェッショナルサービス契約不要
    • いつでも解除できる

  • 簡単なデプロイ
    • 簡単な登録プロセス
    • AWS WAFにデプロイ
    • 少ないメンテナンス

  • デプロイ手順
    • AWS WAFコンソールかマーケットプレイスからルールを見つける
    • subscribeをクリック
    • AWS WAFにルールを適用

  • マネージドルールの料金
    • 2種類の料金が発生する
      • ルールの月額利用料金
      • 100万リクエスト毎の料金
    • マーケットプレイスに各ベンダー毎の料金が設定されている
      • 筆者が現状確認する限りでは$5〜$40程度の月額料金
    • 合わせて通常のAWS WAFの料金も発生する

各ベンダールールの詳細

  • Fortinet
    • 1. SQLインジェクション + XSS
      • ベーシックプロテクション
      • SQLインジェクション
      • XSS
      • 追加のXSS & SQLインジェクション防御
    • 2. 悪質なボット
      • 悪意のあるボット
      • スクレイパー
      • 脆弱性スキャナ
      • 特別な防御
      • 既知の不正なクライアント
    • 3. 一般的な既知のエクスプロイト
      • アドバンスドルールセット
      • 一般的なアタック
      • 既知のエクスプロイト
      • FortiGateの独自の保護
      • インジェクションアタック
      • URLリダイレクト
      • HTTPレスポンス分割
    • 4. OWASP Top10
      • SQLインジェクション/XSS アドバンス
      • 一般的なアタック アドバンス
      • 既知のエクスプロイト
      • 別途購入より割引
      • FortiGateの独自の保護

  • Imperva
    • 共通
      • 何十年ものセキュリティ経験とベストプラクティス
        • ImpervaはWAFマーケットをリードしている
      • 新しい攻撃からの確実な防御
        • セキュリティリサーチチームが定期的にルールの監視、調整、更新を行う
    • 1. IPレピュテーション
      • レピュテーションベースのセキュリティ
      • スパムコメント削除
      • サーチエンジンのアクセス
    • 2. WordPress防御
      • WordPressの防御
      • WordPressの脆弱性を対象にしたリクエストの検知とブロック

  • TrendMicro
    • 1. NginxとApacheサーバ
      • 下記に対する既知の脆弱性とPCI DSS要件に役に立つ
      • Apache Httpd
      • Apache Struts
      • Apache Tomcat
      • Nginx
    • 2. CMS
      • WordPress, Joomla, Drupalを含むCMS, EMSに対する既知の脆弱性とPCI DSS要件に役に立つ
      • トレンドマイクロのもつゼロデイ脅威に対する防御

  • Trustwave(スライドの内容は逆)
    • 1. ModSecurityバーチャルパッチ
      • Trustwave SpiderLabsのModSecurityが常に新しい脅威に対するパッチを提供する
    • 2 CMSバーチャルパッチ
      • WordPress, Joomla, Drupalを含むCMS, EMSに対する既知の脆弱性とPCI DSS要件に役に立つ

  • Alert Logic
    • 1. WordPressのバーチャルパッチ
      • セキュリティエキスパートの作成した防御
      • チューニングの必要がないパッチ
      • 過去6ヶ月の既知のWordpressのエクスプロイトをカバー

セットアップデモ

セットアップについてはすぐに完了します。

詳細は下記をご参照下さい。(デモ内容はサラッと終わったので省略します)

【新機能】AWS WAFマネージドルールを使ってWordPressに対する攻撃を防いでみた #reinvent

マネージドルールリリース後のベネフィット

  • マネージドルールにより、管理も簡単になり完璧なWAFサービスとなった

まとめ

これまでのAWS WAFの歴史と、なぜマネージドルールが必要だったのかがよく分かる内容でした。

各ベンダーが具体的にどのようなルールを提供しているのか詳細説明があり、ルールについての理解も深まったと思います。

今後も様々なベンダーやルールをサポートしていく予定もあるようなので、ますます選択肢が広がって、手軽に最適なWAFを選択できるようになると思います。

ぜひこの新機能を使っていきましょう!