JAWS-UG 沖縄勉強会 Cloud on the BEACH 2016 勉強会の部（経験者トラック）の発表資料です。

1. 2016/04/29(金)
JAWS-UG沖縄勉強会
Cloud on the beach 2016
勉強会の部（経験者向けトラック）
株式会社レキサス 与儀実彦
AWS WAF で
セキュリティ対策

2. 与儀実彦（よぎさねひこ）
所属：株式会社レキサス
お仕事：AWSの提案・設計・構築・運用
好きなAWSサービス：Amazon S3
好きな物理学者：リチャード・ファインマン
JAWS-UG沖縄コアメンバー
自己紹介

3. 振り返ってみると、Cloud on the beach 2013 から毎年登壇中

4. 最近特に思うこと、AWSサービス増えすぎ。。。

5. リリース回数多すぎ。。。
http://aws.amazon.com/jp/aws_history/

7. アジェンダ
AWS WAF とは？
AWSのセキュリティ
CloudFront とは？
AWS WAFでできること
簡単なデモ
まとめ

8. AWS WAF とは？
・AWSの提供するWAF(Web Application Firewall)のサービス
・現在のところCloudFrontに対してのみ利用可能
・Web ACLとして作成したルールをCloudFrontに適応するイメージ
CloudFront
WAF

9. WAF は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護
するセキュリティ対策の一つです。WAF はウェブアプリケーションの実装面での根本的な対策で
はなく、攻撃による影響を低減する運用面での対策です。
WAF は、WAF を導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサイ
トと利用者間の通信の中身を機械的に検査します。
WAF を使用することで以下の効果を期待できます。
脆弱性を悪用した攻撃からウェブアプリケーションを防御する
脆弱性を悪用した攻撃を検出する
複数のウェブアプリケーションへの攻撃をまとめて防御する
IPA 独立行政法人 情報処理推進機構 提供
『Web Application Firewall (WAF)読本 改訂第２版』
より一部抜粋
https://www.ipa.go.jp/files/000017312.pdf
WAF(Web Application Firewall)とは？

10. AWS WAFの導入のイメージ
Availability Zone B
WEBサーバ
Availability Zone A
WEBサーバ
DB
セカンダリ
DB
プライマリ
ELB
WAF
Availability Zone B
WEBサーバ
Availability Zone A
WEBサーバ
DB
セカンダリ
DB
プライマリ
ELB
CloudFront

11. AWS WAFの導入のイメージ
Availability Zone B
WEBサーバ
Availability Zone A
WEBサーバ
DB
セカンダリ
DB
プライマリ
ELB
CloudFront WAF
Availability Zone B
WEBサーバ
Availability Zone A
WEBサーバ
DB
セカンダリ
DB
プライマリ
ELB
CloudFront

12. AWSのセキュリティ
・クラウドセキュリティは AWS の最優先事項です。
AWS のお客様は、セキュリティを最も重視する組織の要
件を満たすよう構築されたデータセンターとネットワーク
アーキテクチャを利用できます。
https://aws.amazon.com/jp/security/

13. AWSのセキュリティ
http://www.slideshare.net/AmazonWebServicesJapan/awswebinar-aws-59853341

14. AWSの責任共有モデル
OSより上のレイヤーのセキュリティはユーザ自身が責任をもって担保
OSより下のレイヤーのセキュリティは、AWSが責任をもって担保

15. AWSの責任共有モデル(データセンター)
・データセンターの場所を明かさない
・Amazon.comのECサイトもAWS上にある
・米国政府専用リージョンもある
・CIA(中央情報局)も利用している
・金融系の導入事例も多数あり
・AWS社内の人でも、データセンターで働く人とAWSを使う人が直接接触で
きないようになっているらしい

16. AWSの責任共有モデル(レポート、認定、第三者認証)
OSより上のレイヤーのセキュリティはユーザ自身が責任をもって担保
OSより下のレイヤーのセキュリティは、AWSが責任をもって担保
▪ AWSは以下のような第三者認証を取得済み
SSAE 16/ISAE 3402基準、SOC1レポート（旧SAS70)
SOC2レポート
SOC3レポート【NDA無で入手可能】
ISO 27001 Certification
PCI DSS Level 1 Service Provider
FISMA moderate
Sarbanes-Oxley (SOX)
データセンターおよび組織のセキュリティ担保責任を果たすため、
多数の第三者認証を取得して更新し続けている。

17. （小ネタ）
AWSのデータセンターは、Amazon.comのためにつくら
れものではなかった（らしい）。
http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-10-years-of-aws
2006年 AWSサービス開始
2010年 Amazon.comのECサイトがAWSへ移行

18. AWSの責任共有モデル
OSより上のレイヤーのセキュリティはユーザ自身が責任をもって担保
→どうやる？

19. ・AWSセキュリティのベストプラクティスに従ったAWS設計をする。
・安全なWebアプリケーション、ウェブサイトを作る。
・ソフトウェア脆弱性アップデート対応や脆弱性情報収集を継続実施。
まずは基本的なことから。

20. Amazon Inspectorでアプリケーションの脆弱性診断。
・2016年4月20日に一般提供開始、東京リージョンでも利用可能に。
・EC2インスタンスに専用のエージェントをインストールして、実行するだ
けでアプリケーションの脆弱性診断が実施可能に。
→サイト公開前などに実施して、セキュリティ的な問題点や穴がないか確認
して、安全なシステム構築の一助に。また、サイト公開後の定期的な脆弱性
診断の実行して、新たな脅威の検出・対応を。
https://aws.amazon.com/jp/inspector/

21. WAF は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護
するセキュリティ対策の一つです。WAF はウェブアプリケーションの実装面での根本的な対策で
はなく、攻撃による影響を低減する運用面での対策です。
WAF は、WAF を導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサイ
トと利用者間の通信の中身を機械的に検査します。
WAF を使用することで以下の効果を期待できます。
脆弱性を悪用した攻撃からウェブアプリケーションを防御する
脆弱性を悪用した攻撃を検出する
複数のウェブアプリケーションへの攻撃をまとめて防御する
IPA 独立行政法人 情報処理推進機構 提供
『Web Application Firewall (WAF)読本 改訂第２版』
より一部抜粋
https://www.ipa.go.jp/files/000017312.pdf
WAF(Web Application Firewall)とは？

22. Amazon CloudFrontとは？
http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-2016-amazon-cloudfront
・CDN(Contents Delivery Network)のサービス
→コンテンツのキャッシュ配信
1ディストリビューション当たり、デフォルトで10Gbps、15,000RPS
まで耐えうる。（超える場合は上限申請）
→DDoS攻撃対策としても、かなり有効。
→ある意味DDoS攻撃なYahoo砲などのアクセス集中対策にかなり有効。

23. Amazon CloudFrontとは？
・CDN(Contents Delivery Network)のサービス
→コンテンツのキャッシュ配信
WAF
http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-2016-amazon-cloudfront

24. 世界中に拡がるCloudFrontのエッジロケーション
http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-2016-amazon-cloudfront
・最寄りのエッジロケーションからコンテンツ配信することで高速に。
・このエッジロケーションにWAFが連携して利用可能。

25. AWS WAF のメリット
・使った分だけの支払い
・APIで操作可能
・オートスケール

26. AWS WAF でできること（2016年4月29日現在）
クライアントからのリクエスト
・Header
・HTTP method
・Query string
・URI
・Body
に対して、
・IP address
・Size constraint
・String matching
・Cross-site scripting
・SQL injection
の判定条件で検出された通信に対して、
・Block
・Allow
・Count
のいずれかのアクションを実行できる。

27. 判定条件：IP address
・クライアントのIPアドレスで判定
・これまで、CloudFrontにはセキュリティグループのような通信制限がなかっ
たため、常に公開されている状態だった。
→公開前のサイトなどについて、特定IPアドレスからのみの閲覧制限をかけるこ
とができるようになった。
→オリジンに対するアクセス制限は考慮する必要あり。

28. 判定条件：IP address
http://aws.typepad.com/sajp/2016/02/waf-4xx-ip.html
・特定IPアドレスからの集中アクセスがあった場合に、Countでアクセス数を計
測して、一定数を超えたらBlockするという仕組みを作ることができる。

29. 判定条件：Size constraint
・リクエストのデータサイズで判定
・入力フォームからのファイルアップロード機能などで、ファイルサイズ制限を
かけるなどの利用用途が考えられる。

30. 判定条件：String matching
・リクエストに含まれる文字列を検知して判定
・特定URIのパスに含まれる文字列でのアクセス禁止や、クエリストリングで特
定文字列の検出などでも使える。

31. 判定条件：Cross-site scripting
・一般的なクロスサイトスクリプティング(XSS)攻撃の内容を検知して判定
https://www.ipa.go.jp/files/000017316.pdf
クロスサイトスクリプティングとは？

32. 判定条件：SQL injection
・一般的なSQLインジェクション攻撃の内容を検知して判定
SQLインジェクションとは？
https://www.ipa.go.jp/files/000017316.pdf

33. WAF
WAFの導入Tips 1
Availability Zone B
WEBサーバ
Availability Zone A
WEBサーバ
DB
セカンダリ
DB
プライマリ
ELB
CloudFront
・CloudFrontで使うIPアドレスレンジ帯のみを許可するセキュリティグループを作成
して、CloudFront外からの通信を遮断した方が良い
攻撃者

34. AWS WAFの導入Tips 2
・ルールの追加や変更が世界中に伝達されるまで通常1分程度かかる。
→CloudFrontの設定変更やルールの初期設定の伝達の場合は、通常数分程度かかる。
https://aws.amazon.com/jp/waf/faq/
http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-2016-amazon-cloudfront

35. 簡単なデモ
WAFCloudFront
検証用サーバ
・Query Stringに対する、
String Matching
Cross-site scripting(XSS)
SQL injection
のBlockルールを適応済み環境
・Blockされる様子をデモで確認
攻撃者

36. デモ(String Match)

37. デモ(Cross-site scripting(XSS))

38. デモ(SQL injection)

39. まとめ
・まずは、セキュリティのベストプラクティスに従ったAWS・アプリ
ケーションの設計が一番重要！
・AWS WAFはあくまで、セキュリティリスクを低減するためのもの
であることを忘れずに！
・AWS WAF の運用方法については、自由度が高いので、運用方針は
しっかりと決める必要がある。
・個人的に思うのが、AWS WAFはセキュリティ対策としてだけでは
なく、何か別の用途にも使えそう。（Countなどを利用して。）