国産WAFベンダーCSCから新しいAWS WAFマネージドルールがリリースされたので使ってみた

212件のシェア(すこし話題の記事)

こんにちは、臼田です。

みなさん、WAFWAFしてますか?(挨拶

今回新しいAWS WAFのマネージドルールがリリースされました。

AWS Marketplace: Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-

しかも、提供しているのはCyber Security Cloud(CSC)さんで、WafCharm等のサービスを行っている日本のベンダーさんです。

AWS WAFのマネージドルールを提供している会社としては国内初です!

早速マネージドルールを見ていきましょう。

ちなみにAWS WAFマネージドルールって何という方は下記をご参照ください。

【新機能】AWS WAFマネージドルールを使ってWordPressに対する攻撃を防いでみた #reinvent

AWS WAFマネージドルールの内容

ルールは上述したこちらのリンクにあります。

AWS Marketplace: Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-

OWASP Top10に対応したルールとして提供されていて、説明では下記項目にも触れています。

  • PCI-DSS等の要件を満たす
  • SQLi, NoSQLi, OScommandiなどのコードインジェクション対応
  • XSS, ディレクトリトラバーサルへの対応
  • 一般的な既知のエクスプロイト(Apache Struts2/ Apache Tomcat/ Oracle WebLogic/ WordPress/ Drupal/ Joomla!/ Malicious Bots等)への対応

頼もしいですね。

価格は下記のとおりです。その他のOWASP Top10ルールであるFortinet($30)とF5($20)の間くらいになっています。

1ヶ月あたり1リージョン毎 $25 (1時間毎で分割して計算)
100万リクエストあたり1リージョン毎 $1.2

使ってみた

ルールを適用する

適用手順は下記でも紹介しておりますので省略します。

【新機能】AWS WAFマネージドルールを使ってWordPressに対する攻撃を防いでみた #reinvent

検知してみる

今回もDVWAを使ってXSSとSQLiの検知を確認します。調べてもらえれば分かる人には分かるので、詳細は省きます。

まずは/dvwa/vulnerabilities/xss_r/XSSを試します。

続いて/dvwa/vulnerabilities/sqli/SQLiを試します。

それぞれ403となり問題なく検知しています。WAFのログを確認してみます。ログの設定方法とAmazon Athenaでのクエリ方法は下記を参照してください。

AWS WAFのログをFirehoseでS3に出力しブロックログをS3Selectで確認してみた

AWS WAFのフルログをAthenaで分析できるようにしてみた

ブロックしているログが確認できました。

日本語サポートについて聞いてみた

2019/03/20追記 リリース時にはWafCharm契約利用時の日本語サポート対応でしたが、「お問合せから3営業日以内を目安に回答いたします。」という条件で標準的に日本語対応されました!「Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-」において、日本語/英語サポートを開始。|株式会社サイバーセキュリティクラウドのプレスリリース

国産ベンダーということで、もしかしたら日本語のサポートが受けられるのでは!?と思いCSCさんに問い合わせたところ以下の回答をいただきました。

Managed Rule 単体のご利用の場合は、英語のみの対応とさせていただいてます。

尚、WafCharm(全プランが対象) と併用いただいているお客様については、WafCharmサポートが一元窓口となり、日本語でのサポートも可能となります。 日本語サポートをご希望のお客様につきましては、WafCharm営業窓口(wafcharm-sales@cscloud.co.jp)までお問い合わせください。

また、近日中にはWafCharmにて、Managed Ruleに関連する新機能のリリースを予定しております

なんということでしょう。マネージドルール単体では難しいものの、WafCharmとの組み合わせで日本語サポートが可能とのことです。

そして、WafCharmとマネージドルールの組み合わせで新機能の予感…!!これは期待ですね。

まとめ

CSCさんよりリリースされたAWS WAFマネージドルールについて検証したりしてみました。

場合により日本語サポートが可能であったり、他のWAFサービスとの連携について垣間見えたりと、単純なマネージドルールとしての機能だけではない期待が持てるリリースだと思います。

WAFのルールチューニングとかを気にされている方は、特に参考にしてみてください!