Submit Search
Upload
AWS Black Belt Online Seminar 2017 AWS WAF
•
22 likes
•
46,788 views
Amazon Web Services Japan
Follow
AWS Black Belt Online Seminar 2017 WAF
Read less
Read more
Technology
Report
Share
Report
Share
1 of 63
Download now
Download to read offline
Recommended
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
Amazon Web Services Japan
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
Amazon Web Services Japan
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
Amazon Web Services Japan
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
Recommended
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
Amazon Web Services Japan
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
Amazon Web Services Japan
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
Amazon Web Services Japan
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
Amazon Web Services Japan
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
Amazon Web Services Japan
[AKIBA.AWS] VGWのルーティング仕様
[AKIBA.AWS] VGWのルーティング仕様
Shuji Kikuchi
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
20190821 AWS Black Belt Online Seminar AWS AppSync
20190821 AWS Black Belt Online Seminar AWS AppSync
Amazon Web Services Japan
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
Amazon Web Services Japan
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
Black Belt Online Seminar AWS Amazon S3
Black Belt Online Seminar AWS Amazon S3
Amazon Web Services Japan
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM
Amazon Web Services Japan
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
Amazon Web Services Japan
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
ssuser868e2d
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Amazon Web Services Japan
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
AWS WAF Security Automation
AWS WAF Security Automation
Hayato Kiriyama
More Related Content
What's hot
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
Amazon Web Services Japan
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
Amazon Web Services Japan
[AKIBA.AWS] VGWのルーティング仕様
[AKIBA.AWS] VGWのルーティング仕様
Shuji Kikuchi
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
20190821 AWS Black Belt Online Seminar AWS AppSync
20190821 AWS Black Belt Online Seminar AWS AppSync
Amazon Web Services Japan
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
Amazon Web Services Japan
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
Black Belt Online Seminar AWS Amazon S3
Black Belt Online Seminar AWS Amazon S3
Amazon Web Services Japan
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM
Amazon Web Services Japan
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
Amazon Web Services Japan
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
ssuser868e2d
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Amazon Web Services Japan
What's hot
(20)
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray
20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
[AKIBA.AWS] VGWのルーティング仕様
[AKIBA.AWS] VGWのルーティング仕様
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190821 AWS Black Belt Online Seminar AWS AppSync
20190821 AWS Black Belt Online Seminar AWS AppSync
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Black Belt Online Seminar AWS Amazon S3
Black Belt Online Seminar AWS Amazon S3
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Similar to AWS Black Belt Online Seminar 2017 AWS WAF
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
AWS WAF Security Automation
AWS WAF Security Automation
Hayato Kiriyama
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
Takanori Ohba
AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13
YOJI WATANABE
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
Amazon Web Services Japan
20180710 AWS Black Belt Online Seminar AWS入門者向け: AWSで実現するウェブサイトホスティング
20180710 AWS Black Belt Online Seminar AWS入門者向け: AWSで実現するウェブサイトホスティング
Amazon Web Services Japan
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
Amazon Web Services Japan
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
Tomohiro Nakashima
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないこと
YOJI WATANABE
20190124 waf
20190124 waf
Serverworks Co.,Ltd.
AWSのIPv6対応状況@JAWS-UG大阪
AWSのIPv6対応状況@JAWS-UG大阪
Yasuhiro Araki, Ph.D
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security
Amazon Web Services Japan
クラウドを積極活用したサービスの開発のために
クラウドを積極活用したサービスの開発のために
Yuichiro Saito
AWS Black Belt Tech シリーズ 2015 - AWS WAF
AWS Black Belt Tech シリーズ 2015 - AWS WAF
Amazon Web Services Japan
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
Amazon Web Services Japan
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
Amazon Web Services Japan
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方
Hirokazu Ouchi
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
Junji Nishihara
Similar to AWS Black Belt Online Seminar 2017 AWS WAF
(20)
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
AWS WAF Security Automation
AWS WAF Security Automation
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
AWS WAF を使いこなそう Security JAWS #13
AWS WAF を使いこなそう Security JAWS #13
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20180710 AWS Black Belt Online Seminar AWS入門者向け: AWSで実現するウェブサイトホスティング
20180710 AWS Black Belt Online Seminar AWS入門者向け: AWSで実現するウェブサイトホスティング
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないこと
20190124 waf
20190124 waf
AWSのIPv6対応状況@JAWS-UG大阪
AWSのIPv6対応状況@JAWS-UG大阪
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security
クラウドを積極活用したサービスの開発のために
クラウドを積極活用したサービスの開発のために
AWS Black Belt Tech シリーズ 2015 - AWS WAF
AWS Black Belt Tech シリーズ 2015 - AWS WAF
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
"Kong Summit, Japan 2022" パートナーセッション:Kong on AWS で実現するスケーラブルな API 基盤の構築
More from Amazon Web Services Japan
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
Amazon Web Services Japan
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
Amazon Web Services Japan
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
Amazon Web Services Japan
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
Amazon Web Services Japan
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Web Services Japan
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
Amazon Web Services Japan
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
Amazon Web Services Japan
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon Web Services Japan
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon Web Services Japan
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
Amazon Web Services Japan
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
Amazon Web Services Japan
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
Amazon Web Services Japan
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Web Services Japan
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
Amazon Web Services Japan
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
Amazon Web Services Japan
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
Amazon Web Services Japan
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
Amazon Web Services Japan
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
Amazon Web Services Japan
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
Amazon Web Services Japan
More from Amazon Web Services Japan
(20)
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDD
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
Recently uploaded
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
Recently uploaded
(9)
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
AWS Black Belt Online Seminar 2017 AWS WAF
1.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 1 Kazuaki Fujikura Solutions Architect, Amazon Web Services Japan K.K 2017.11.22 【AWS Black Belt Online Seminar】 AWS WAF -OWASP Top10脆弱性緩和策-
2.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 2 ⾃⼰紹介 藤倉 和明(Kazuaki Fujikura) AWS Enterprise Solution Architect 好きなAWSサービス Amazon CloudWatch Amazon VPC AWS WAF
3.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 3 AWS Black Belt Online Seminar へようこそ! 質問を投げることができます! Adobe ConnectのQ&Aウィンドウから、質問を書き込んでください。 (書き込んだ質問は、主催者にしか⾒えません) 今後のロードマップに関するご質問はお答えできませんのでご了承くださ い。 Twitterへツイートする際はハッシュタグ #awsblackbelt をご利⽤くだ さい。 ①Q&Aウィンドウ 右下のフォームに 質問を書き込んで ください ②吹き出しマークで 送信してください
4.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 4 AWS Black Belt Online Seminar とは AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです 【⽕曜 12:00~13:00】 主にAWSのソリューションや 業界カットでの使いどころなどを紹介 (例:IoT、⾦融業界向け etc.) 【⽔曜 18:00~19:00】 主にAWSサービスの紹介や アップデートの解説 (例:EC2、RDS、Lambda etc.) ※開催曜⽇と時間帯は変更となる場合がございます。 最新の情報は下記をご確認下さい。 オンラインセミナーのスケジュール&申し込みサイト • https://aws.amazon.com/jp/about-aws/events/webinars/
5.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 5 内容についての注意点 本資料では2017年11⽉22⽇時点のサービス内容および価格についてご説明しています。最 新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 • 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価 格に相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 • 価格は税抜表記となっています。⽇本居住者のお客様が東京リージョンを使⽤する場合、 別途消費税をご請求させていただきます。 AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
6.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 6 Agenda ü AWS WAF概要 ü WAFとは ü AWS WAFの紹介 ü OWASPʻs Top 10防御 ü OWASPʼs Top 10とは ü OWASPʻs Top 10 templateの展開 ü デモ ü 更なる⼀⼿ ü まとめ
7.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 7 AWS WAF概要
8.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 8 WAFとは? • Web Application Firewall (WAF) は、HTTPトラフィックをフィルタ などの制御をするためのアプライアンスや、サーバプラグインなどの ルールセットのこと。 • WAFは以下4つで提供されることが多い • Pure Play: スタンドアローンのアプライアンスやソフトウェア • CDN: Content Delivery Networkへのバンドル • Load Balancer: ロードバランサへのバンドル • Universal Threat Manager (UTM): 統合セキュリティ管理(UTM)の ⼀部として提供 DatabaseWeb ServerWAF Normal Access Malicious Access
9.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 9 なぜWAFを使うのか • WAFは、Webサイトやアプリケーションが、攻撃されてダウンしたり データが流出したりすることがないような⼿助けをする • WAFの⼀般的なユースケース • SQL Injection (SQLi) 、Cross Site Scripting (XSS)対策 • Webクローラ、スクレイピング等のBOT対策 • DDoS緩和 (HTTP/HTTPS floods) • ガートナーのレポートによると、導⼊理由の25-30%はPCI対応のため ネットワーク OS ウェブアプリケーション IDS/IPS FW WAF 攻撃者
10.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 10 Webサービス防御におけるWAFの位置づけ DDoS Targeted attacks WAF Reflection and amplification Layer 3 & 4 floods Slowloris SSL abuse HTTP floods SQL injection Bots and probes Application exploits Social engineering Reverse engineering XSS RFI/LFI Data Exposure
11.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 11 WAFだけでは防御は完璧ではない WAFはウェブアプリケーションの脆弱性への根本対策ではなく、 攻撃による影響を低減する対策 ウェブアプリケーション防御はWAFの導⼊だけでなく、そのイン フラストラクチャ全体の対策が必要 • AWS Shield • Amazon Inspector • 暗号化 • IAM • AWS Config • AWS CloudTrail • 3rd partyセキュリティソフト … Web Application Firewall(WAF) - IPA 独⽴⾏政法⼈ 情報処理推進機構:http://www.ipa.go.jp/files/000017312.pdf
12.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 12 セキュリティを考慮したサンプルアーキテクチャ Web Web Web Web Public Subnet (DMZ) Public Subnet (DMZ) Private Subnet Private Subnet Private Subnet Private Subnet NAT PROX NAT PROX 操作ログ リソース監視 通知 データ暗号化 権限管理 Availability Zone Availability Zone 既存DC 専⽤線 接続暗号鍵管理 管理コンソール CDN/WAF 変更監視 WAFはセキュリティ対策の⼀部 それだけで全てを守れる訳ではない traditional server 脆弱性検査 PII/SP検知 TLS security コンプライアンス
13.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 13 Your Applications AWS WAF What is AWS WAF? • ⼀般的なWebエクスプロイトからウェ ブサイトやウェブアプリケーションを 保護 • アプリケーションの可⽤性、セキュリ ティに影響を及ぼすリスクを緩和する、 またはリソース消費を抑制する • HTTPリクエストのフィルタエンジン • 認識可能なリクエストシグネチャによ る攻撃を防⽌する • 規制遵守の要件を満たす WebApp Database 正規のユーザ 攻撃者
14.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 14 AWS WAFの特徴 カスタムルールによるフィルタ SQLインジェクション、XSSなどの よくある攻撃への対策 モニタリング
15.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 15 これまでのWAF 設定は複雑で時間がかかる
16.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 16 これまでのWAF ルールが増えるにつれ擬陽性(False positive)に悩むこ とになる
17.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 17 これまでのWAF No API
18.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 18 これまでのWAF 導⼊と維持コストが⾼すぎる • プロフェッショナルサービスが必 要になる • ⾒積もりが過⼤になりがち
19.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 19 お客様の要望に応じてAWSが実現したWAF 実践的なセキュリ ティモデルを簡単 に導⼊ フレキシブルに ルールをカスタマ イズできる DevOpsとの統合 それらをAWSの「使っただけ」の⽀払い
20.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 20 WAF タイプ別分類 Pure Play WAF • Imperva* • Alert Logic • Barracuda* • Qualys* CDN WAF • Akamai Kona • CloudFlare** • EdgeCast • Incapsula** • LeaseWeb Load Balancer WAF • F5 Networks* • Citrix* • Barracuda* UTM WAF • Sophos* • Fortinet* * Denotes a WAF that is available from the AWS Marketplace ** Denotes advertised product in AWS Marketplace from technology partner
21.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 21 AWS WAF • Amazon CloudFront/ALBとの併 ⽤のみ • クラウドベースの防御 • セルフサービス、簡単なデプロイ、 使った分だけのお⽀払い • オートスケール • DevOpsと相性がいい • “Do it yourself” AWS WAFとMarketplaceの併⽤について Marketplace WAFs • EC2インスタンス上で動作 • マネージドサービス、BYOL、1時間単 位など様々 • スケールさせるには別途設定、変更点、 特別作業等必要 • オンプレミスで⾏っていた統制をその ままに実現 (シグネチャ更新、SOC対応)
22.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 22 AWS WAFでパートナーの提供による マネージドルールが利⽤可能に • パートナーが管理するマネージドルールを利⽤ することで、ウェブアプリやAPIの保護を即座 に開始することができるように • 現時点でAlert Logic, Fortinet, Imperva, Trend Micro, TrustWaveなどセキュリティの エキスパートがルールを提供 • AWS Marketplaceを通じて調達でき、従量制 の料⾦で利⽤可能。⻑期契約は必要ない • ルールの適⽤はAWS WAFのコンソールからも https://aws.amazon.com/mp/se curity/WAFManagedRules/ on 30 NOV 2017
23.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 23 AWS WAFシステムの概念とコンポーネント Associations Amazon CloudFront Application Load Balancer Web ACLs Ordered set of rules Rules Match sets as predicates Conditions Match sets • Conditions • SQL Injection • Cross Site Scripting (XSS) • IP Blacklisting/Whitelisting • Request Hygiene/Size Constraints • String and regex matching • Geo match • Rules • Standard Rules • Rate Based Rules (per 5min interval) • Actions: Block, Allow, Count • Perimeter protection
24.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 24 Web ACLを構築するための戦略 • Blacklisting: • ルールによる不正なパターンのみBLOCK デフォルトのアクションはALLOW • ⼀般的に採⽤されるパターン • Whitelisting: • ルールによる許可されたパターンのみALLOW デフォルトのアクションはBLOCK • 全てのリクエストパターンを事前に把握し限定できる場合に採⽤ • Mixed: • 考慮事項:ルールの順序付け、バイパスの規則 • Count effects: • 導⼊初期のテストパターンでは COUNT ルールアクションが有効 • 正常なリクエストが除外されていないか確認する
25.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 25 サンプルをモニタリングしながら、ルール毎にリクエストがマッチし たか確認する事が可能 COUNT で確認し、誤検知が無いことを確認してからBLOCKに変更 Web ACLを構築するための戦略 サンプルを確認するルール 対象となったリクエスト詳細 ActionをCountからBlockへ変更
26.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 26 OWASPʻs Top 10防御
27.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 27 OWASPʻs Top 10とは • OWASP(The Open Web Application Security Project)コミュニティが公開している、最もクリティカ ルと考える10種類のセキュリティリスク • 2013年度版が最新のバージョン、2017年度版は現在RC1 として公開されている • AWS WAFのOWASPʻs Top 10 templateはそのどちらも 対応する形で公開 https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-top-10-web-application-vulnerabilities/
28.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 28 OWASPʻs Top 10 (2013 & 2017 RC) 最もクリティカルと考える10種類のセキュリティリスクについて、OWASPコ ミュニティで幅広いコンセンサスを得ています A1 Injection A2 Broken Auth. & Session Mgmt. A3 Cross-Site Scripting (XSS) A4 Broken Access Control A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Insufficient Attack Protection A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Underprotected APIs 2013 - A10 Unvalidated redirects and forwards New New New
29.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 29 QuackyNature.com は有⼒なオンライン⼩売業者です 彼らは常に悪意のあるユーザから攻撃を受けています クレジットカード情報、個⼈情報、価格設定または、サプライヤーの情報等 機密データを盗もうとしています あなたは彼らの新しいセキュリティエンジニアです データを保護し、攻撃を緩和する必要があります ロールプレイ
30.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 30 アプリケーションセキュリティの脅威を緩和する アプリケーション指向アプローチ: 特定のアプリケーションプロファイルを保護する QuackyNature.comアプリケーション固有の欠陥 (コード、構成、機能)を悪用するリスクを軽減する ✓ 環境の変化に適応する✓ ⼀般的な攻撃による影響を軽減 QuackyNature.comを一般的な攻撃から保護します ✓
31.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 31 Using WAF to Mitigate OWASP Top 10 AWS WAF は、OWASP Top 10のアプリ ケーション脆弱性を緩和できます • WAFは根本的な⽋陥を修正するもので はなく、脆弱性への攻撃の緩和です • HTTPリクエストパターンを認識する事 は、有効性の⾼い導⼊への鍵です • 攻撃パターンの変化に追いつく能⼒は 重要です
32.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 32 アプリケーションプロファイルを知る OSSもしくは、商⽤の既製品であっても、アプリケー ションを詳細に把握する どのようなサービス/ URLパスがWebに公開されますか? それらを最新の状態に保ち、適時にセキュリティパッチ をインストールする 脆弱性を最⼩限に 1 3 アプリケーションが活⽤しているパッケージ、ライブラ リ、コンポーネントを把握する 公開する追加の機能とサービス 2
33.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 33 A1 – Injection Injection ⽋陥: アプリケーションが信頼できないデータをインタプ リタに送信し、要求元の意図を変更するリスク 広く知られているのは SQL Injection があります。 Credit: XKCD: Exploits of a Mom, published by permission.
34.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 34 A1 – Injection AWS WAFのSQL injection match conditionsを使⽤して軽減する • どのようなHTTPリクエストコンポーネントをスキャンする必要が ありますか? • Query String, URI, Body, Cookie and/or Authorization Header • どのような変換を適⽤する必要がありますか? • URL Decode, Decode HTML Entities • その他のinjection typesにはどのように対応しますか? • Use String and regex matching conditions
35.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 35 A3 – Cross-Site Scripting (XSS) XSS ⽋陥: 適切なサニタイズを⾏わずにWebページにユーザー提供の データを含める。 悪意のあるスクリプトやオブジェクトをユーザー ページに埋め込むことができます Your Comment: SEND <script src=”https://malicious- site.com/exploit.js” type=”text/javascript” />
36.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 36 A3 – Cross-Site Scripting (XSS) AWS WAFの cross-site scripting match conditionsを使⽤して軽減 する • どのようなHTTPリクエストコンポーネントをスキャンする必要があり ますか? • Body, Query String, Cookie Header, URI • どのような変換を適⽤する必要がありますか? • URL Decode, Decode HTML Entities • HTTPリクエストではどのようなcontent-typeが許可されますか? • HTMLコンテンツでは無い場合、False Positiveのリスクが有る
37.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 37 A4 – Broken Access Control ユーザーが何をすることができるかに関する制限の不⼗分/不適切な実 施による⽋陥: • 内部アプリケーションオブジェクトの操作 • コンポーネント/機能レベルのアクセス制御の問題 • パストラバーサル攻撃、ローカルまたはリモートファイルインク ルード(LFI / RFI) 権限設定の不備による⽋陥は、ユーザコンテキストなしでWAFによっ て軽減することは困難です。 https://example.com/download.php?file=..%2F..%2Fetc%2Fpasswd
38.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 38 A4 – Broken Access Control • パストラバーサル、ファイルのインクルードはString and regex matchingを使⽤して、危険なパターンをフィルタリングします。 • String and regex matching と IP address match conditions を使⽤して既知の場所から既知のユーザーに管理モ ジュールまたはコンポーネントへのアクセスを制限する
39.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 39 A5 – Security Misconfiguration デフォルト設定は必ずしも⽬的に合っているとは限りません。推奨される デフォルト値も時間とともに変化します Examples • Apacheで ServerTokens Full の設定をそのまま利⽤する • 本番Webサーバーでデフォルトのディレクトリ⼀覧を有効にしたままに する • 本番環境でスタックトレースを返すアプリケーションフレームワークの 設定 • ランタイム、インタプリタなどが古く、セキュアでないデフォルト設定 etc…
40.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 40 A5 – Security Misconfiguration WAFによる軽減戦略: • デフォルトでインストールまたは有効になっている管理コンソール、 設定またはステータスページのパスへのアクセスをブロックまたは 制限する • プラットフォームに特有の既知の攻撃パターン、特に古いプラット フォームの動作に依存しているレガシーアプリケーションに対して 保護します。 関連するパターンを照合するには、String and regex matchingを使⽤します。 http://example.com/?_SERVER[DOCUMENT_ROOT]=http://bad.com/bad.htm
41.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 41 A7 – Insufficient Attack Protection セキュリティは全体的な防御が重要になります。WAFを始め、アプリ ケーションの保護が不⼗分な時、重⼤なリスクへと繋がる可能性があ ります。 主な対象範囲: • 不正なHTTPリクエストへの防御 • 変化する攻撃パターンへの適応性 • 異常検出と反応速度 • セキュリティコントロールの有効性検証
42.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 42 A7 – Insufficient Attack Protection WAFによる軽減戦略: • size constraint conditions を使⽤してHTTP要求コンポーネン トのサイズをアプリケーション関連の最⼤値に制限する • rate-based rules を使⽤して、異常なリクエスト数またはそのよ うなリクエスト数の変更を検出する • 移譲な状態に対応する機能には、 AWS WAF Security Automations を使⽤してください • スキャナとプローブの緩和 • 既知の攻撃者からのリクエストを軽減(レピュテーションリストの使⽤) • Botとスクレーパーの緩和
43.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 43 A9 – Using Components with Known Vulnerabilities 最も⼀般的な攻撃ベクトルの1つ: • レガシーな環境下における制約のため、脆弱なコンポーネントを使⽤ • 依存性による脆弱なサブコンポーネントの使⽤ • トラッキング/レポーティングの⽋如による脆弱なコンポーネントの使⽤ WAFを使⽤して軽減する: • コンポーネントの使⽤していない機能に対してHTTPリクエストをブロック する • 公開してしまっているサーバサイドコンポーネントへのHTTP要求をブロッ クする
44.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 44 OWASPʻs Top 10 templateの展開
45.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 45 OWASPʼs Top 10 のWAFルールの作成(1) • https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps-top-10-web-application-vulnerabilities/ • https://s3.us-east-2.amazonaws.com/awswaf-owasp/owasp_10_base.yml CloudFormationを開き owasp_10_base.yml のURLを指定
46.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 46 OWASPʼs Top 10 のWAFルールの作成(2) 任意のスタックの名前 (重複しないように) Globalに設定した場合は CloudFrontでの利⽤ Regional指定の場合はALB Production環境にはすぐに BLOCKを設定しないこと
47.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 47 OWASPʼs Top 10 のWAFルールの作成(3) HTTP要求のURIコンポーネントで許可 される最⼤バイト数 HTTP要求のクエリ⽂字列コンポーネ ントで許可される最⼤バイト数 リクエストボディに 許容される最⼤バイト数 Cookieヘッダーで許可される 最⼤バイト数 A7 – Insufficient Attack Protection
48.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 48 OWASPʼs Top 10 のWAFルールの作成(4) 管理画⾯へのアクセス許可設定 CSRFトークンがリクエストされ予想される カスタムHTTPリクエストヘッダ CSRFトークンのサイズのチェック 本来公開すべきではないサーバサイドの コンポーネントURIプレフィックス A4 – Broken Access Control A8 - Cross-Site Request Forgery
49.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 49 OWASPʼs Top 10 のWAFルールの作成(5) PROGRESSがCOMPLETEに なるまで待つ
50.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 50 OWASPʼs Top 10 のWAFルールの作成(6) Web ACLsを開き Filter: Global からowasp-aclができている 事を確認
51.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 51 OWASPʼs Top 10 のWAFルールの作成(7) Rulesを選択 Add associationをク リック Rule⼀覧が表⽰されて る事を確認 防御対象を選択
52.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 52 デモ
53.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 53 QuackyNature.comはAWS WAFによって守られました
54.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 54 更なる⼀⼿
55.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 55 IP Address Reputationリストによる防御 http://aws.typepad.com/sajp/2016/05/you-can-use-aws-waf-a-web-application-firewall-to-help-protect-your-web-applications-from-exploits-that-originate-from-grou.html Update IP Blacklists and WAF rules using AWS WAF API Normal Users Malicious users and bots CloudFront AWS WAF Lambda Script Detect malicious IPs Rule Updater CloudWatch events reputation list スパマーやマルウェアの配布元、あるいは ボットネットなどの悪い振る舞いをする(bad actor)発信元として知られ、リスト化されてい るIPアドレス(⾵評リスト、reputation list)から のWebアプリへの攻撃を防御する⽅法 1. Amazon CloudWatch Eventsは、スケジュー ルに従ってLambda functionを実⾏する。 2. サードパーティの作成したreputation listを ダウンロードし、Lambda functionによって 処理される。 3. ブラックリストを作成するために、 Lambda funtionはAWS WAF IPセットを reputation listに書かれた最新のIPアドレス (及びIPレンジ)にアップデートする。 4. AWS WAFはブラックリスト内のIPアドレス からのリクエストを拒否する。
56.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 56 AWS WAF セキュリティオートメーション https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/ 既知の脆弱性もIP Address Reputation防 御もまとめて全部オートメーション • API Gatewayのハニーポットも⽤意し 悪意のボットやコンテンツスクレー パー等の疑わしいリクエストを送っ てくる送信元IPアドレスをブラック リストに追加 • SQLi、CSRFからの保護ルールの追加 • AWS Lambda のカスタム関数により、 アクセスログを⾃動的に解析して、 疑わしい動作を特定し、該当する送 信元 IP アドレスをブラックリストに 追加 • ⼿動でホワイトリストIP、ブラック リストIPアドレスの追加 • IP Address Reputationをブラックリス トへ⾃動追加
57.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 57 まとめ
58.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 58 AWS WAFの料⾦ Three Charge Components 1. Web ACL monthly charge: $5 / Web ACL 2. Rule monthly charge: $1 / rule 3. Request Fee charge: $0.60 / million requests • 初期費⽤は不要 • 複数の CloudFront ディストリビューションと Application Load Balancer でウェブ ACL を再使⽤して も追加料⾦は発⽣しない • 設定したWeb ACL/Rule数、リクエストに基づく課⾦
59.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 59 AWS WAFの制限 • AWS アカウントあたりのウェブ ACL : 50 * • AWS アカウントあたりのルール : 100 * • 1 秒あたりのリクエスト数 • CloudFront : CloudFront でサポートされる RPS の制限のサポートと同じ • ALB : ウェブ ACL あたり 10,000 * • IP ⼀致条件ごとの IP アドレス範囲 (CIDR 表記) : 10,000 • 5 分間あたりの最⼩レートベース制限 : 2000 • ウェブ ACL あたりのルールの数 : 10 • 各condtionのフィルター数 : 10 http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/limits.html * この制限は申請により引き上げる事ができます
60.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 60 まとめ • 実践的なセキュリティモデルを簡単に導⼊ • フレキシブルにルールをカスタマイズ可能 • セキュリティオートメーションによる、迅速なルール伝 達およびインシデント対応が可能 • 今すぐ使い始められて、使った分だけのコスト
61.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 61 参考資料 AWS WAF – Web アプリケーションファイアウォール • https://aws.amazon.com/jp/waf/ AWS WAF と AWS Shield アドバンスドドキュメント • http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/what-is-aws-waf.html Use AWS WAF to Mitigate OWASPʼs Top 10 Web Application Vulnerabilities(blog) • https://aws.amazon.com/jp/about-aws/whats-new/2017/07/use-aws-waf-to-mitigate-owasps- top-10-web-application-vulnerabilities/ Use AWS WAF to Mitigate OWASPʼs Top 10 Web Application Vulnerabilities(pdf) • https://d0.awsstatic.com/whitepapers/Security/aws-waf-owasp.pdf AWS WAF セキュリティオートメーション • https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/ IP Address Reputationリストを⾃動更新でAWS WAF IP Blacklistsとして使う⽅法 • http://aws.typepad.com/sajp/2016/05/you-can-use-aws-waf-a-web-application-firewall-to-help- protect-your-web-applications-from-exploits-that-originate-from-grou.html
62.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 62 ご参加ありがとうございました
63.
© 2017, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 63
Download now