Imperva SecureSphereでAWS AutoScaling対応のWAF構築 #1概要

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ども、大瀧です。
Webアプリケーションへの攻撃対策としてWAF(Web Application Firewall)が広く利用されるようになりました。AWSでホストするWebシステムでもWAFが求められる案件が最近増えてきている反面、WAFプロダクトによってはAWSの各サービスとの組み合わせに制約がありAWSの伸縮性や柔軟性が生かせないケースもあります。そこで今回は、AWSサービスとの親和性が高いWAFプロダクトとしてImperva SecureSphereによるELB&Auto Scalingを組み合わせた構成をご紹介します。

Imperva社のWAFプロダクト

Imperva社のWAFプロダクトは2014年のガートナー社WAF Magic Quadrantでリーダーに位置づけられている、ワールドワイドでは著名な製品です。クラウド(SaaS)型WAFのIncapsulaとアプライアンス型WAFのSecureSphereの2ラインがあります。ざっくり表にまとめてみました。

項目名 Incapsula SecureSphere
形態 クラウド(SaaS)型
(Imperva社のデータセンターで稼働する共用のWAF)
アプライアンス型
(AWS上にEC2インスタンスとして実行するユーザー専用のWAF)
WAFインスタンスの運用 不要 必要
キャパシティ管理 不可
(プラン毎に定義)
可能
(WAFインスタンスのタイプ変更、台数追加)
機能 CDN/DDoS対策など多彩 特化された、高度なWAF機能
コスト サービス利用費(無償〜) インスタンス実行費用+ライセンス(年額$15,700〜)

形態・構成イメージだと以下のような感じです。

securesphere01_1

Incapsulaは弊社エンジニアの梶が別エントリーで取り上げているので、今回はアプライアンス型のSecureSphereを利用してみます。

SecureSphere on AWS

AWS環境でのSecureSphereの実行のために、以下を利用することができます。

  • SecureSphereインストール済みのMarketplace AMI
  • AMIをEC2インスタンスとして起動するためのCloudFormationテンプレート

MarketplaceのAMIは、ライセンス形態によってBYOLとOn Demandの2種類から選択します。サポート要件やAuto Scalingの対応が異なるため事前に確認しておきましょう。CloudFormationテンプレートもユーザーデータによるライセンス処理などでBYOLとOn Demandが別になっており必須ではありませんが、Auto Scaling対応のために様々なAWSコンポーネントを利用すること、既存VPCに組み込めるようになっていることから、このCloudFormationによるデプロイをお奨めします。

AWS環境でのSecureSphereの標準構成を以下の通り示します。

securesphere02

CloudFormationテンプレートとの対応とセットアップ手順は次回に譲るとして、EC2でWAFを実行するだけでなくELB、Auto ScalingなどAWSサービスと連携する仕組みを持つ様子を図から感じ取っていただければと思います。

次回はセットアップ手順をご紹介します!乞うご期待!