紙一重の積み重ね

35歳のエンジニアがなれる最高の自分を目指して、学んだことをこつこつ情報発信するブログです。

【参加レポート】今日からはじめられるAWS Edgeサービスを利用した境界防御

はじめに

AWSからの招待セミナーに参加してきました。

参加した目的

  • 境界防御の最新同行を知る
  • 自分のプロダクトに入れられるか考える

感想

WAFのマネージドルールは、ブラックボックスなのが最大の課題で、チューニングできないため誤検知を改善できない認識です。そのため、現状はWafCharm一択なのでは、、、という気がしています。

AWS Shield Advancedもとてもいいな、と思って価格を調べてみたら、月額3,000.00USDでした。(1年の契約が必要) 残念ながら月額30万円も払えるレベルに達していないので、今回は見送りになりそうです・・・。アカウント単位ではなく、組織単位での課金なのは大変勉強になりました。

aws.amazon.com

また、休憩の際に、AWSの壁に、it's still day one と書いてあるのが目に止まりました。まだ1日目??と疑問に思って調べてみたら、Amazonの企業理念のようです。

Amazonでは、毎日が常に「Day One」であると考えています。 最初の一歩を踏み出す日。新たな挑戦を心待ちにする日。そして今日が、皆様にとっての「Day One」です。 素晴らしいビジネス拡大に向け、あなたのアイディアが形になり始める日。 毎日が常に「Day One」であることがAmazonを支える力となり、刺激となっています。

www.amazon.co.jp

現状に満足することなく、常に今よりも上を目指すという姿勢は、AWSにも根付いているのですね。

【セミナー1】AWS Edgeサービスを利用した境界防御

  • AWS 清水さん

f:id:yokoyantech:20190912182803p:plain

好きなサービス

  • Certificate Managerが好き!
    • 証明書自動更新されるの便利
  • GuardDuty
    • 本当におすすめ
    • 驚異リスクを検知するAWSマネージドサービス
      • 付加価値が高いので有料
        • 未知と既知のリスクを検知してくれる
          • 例えば、休日にProduction環境にログインすると、いつもと違うIPですけど大丈夫ですか、的な検知される
      • ワンクリックで有効化するだけ!
    • 料金
      • クラスメソッドさんの事例より
        • AWS利用料の1%くらい

Internetとは?

  • いろんな民間のプラットフォームをつなげて成り立っているもの
  • 世界的につながっている
    • amazon.comもその一員
  • 誰でもアクセス可能なので、攻撃者もアクセスできる
    • WEBアプリは常に驚異にさらされている
  • データ侵害するのは数分
  • 検知するのは数カ月後
    • 実はわかってない、気付いていないケースが有る
  • AWSは責任共有モデル
    • AWSは、クラウドセキュリティに対する責任
    • お客様は、cloud内のSecurityに対する責任
  • インフラ保護
    • AWS Firewall Manager
      • 複数AWSアカウントをまたいだAWS WAFルールの一元管理
      • マルチアカウントが当たり前の時代になった

Internet上の驚異と対策

脅威の種類

  • 高度化しているものの、基本的な攻撃は変わってない
    • DDos
      • F7レイヤもある
    • WEBアプリ
      • XSS
    • Bad Bots(スクレイパーやクローラ)
  • DoS
    • 昔で言うところのF5アタック
    • 単一のアタッカーからの攻撃
  • DDoS
    • 分散された複数のアタッカーからの攻撃
    • IoTによるアタック
      • 今はお金を払えば簡単にできてしまう時代
    • 2012年以降、右肩上がり
      • 2016年 Mirai Attacks
      • 2018年 Memcached Attacks
        • アタックの規模がぜんぜん違う!!(1.7TB)

対策

  • AWS Shield
    • L3,4防御
      • 基本的なDDoS攻撃を防御
      • 無償
      • Advancedは有償
        • より大規模、より洗練された防御
  • AWS WAF
    • L7防御
      • 併用を推奨
  • エッジロケーションの可視化

  • AWS Shield Advanced

    • アタック数の可視化
      • L3/4
        • パケットレート:CPUリソース消費
        • ビットレート:帯域を消費
      • L7
        • リクエストレート:アプリのリソース消費
    • WAFとFW Managerが無料で利用可能

infrastructure.aws

  • 24H365の有人監視チーム(DRT)
    • 複雑なケースはチームにエスカレーションできる
    • AWSサポート経由で問い合わせ
      • 英語で対応する必要はない
    • L7のDDoS発生時に、WAFの変更をDRTに許可することもできる
      • 責任共有モデルのため、お客様自身で許可して貰う必要がある
    • DRTからの連絡を取りたい場合の連絡先登録もできる
  • 対象
    • Route53、ALB、EPIなど
  • コスト保護(DDoSによるコストの吸収)
    • DDoS起因によるスケーリングコストは請求しない

WEBアプリの対策

  • AWS WAF
    • L7に特化
    • デプロイ簡単
    • 柔軟なルール言語
    • APIによる自動化
    • 廉価
    • 定義済みのテンプレート
  • 課題
    • ポリシーのメンテナンスをし続けないといけない
    • 専任者がいない
    • ポリシー育てるのが大変
    • WEBアプリのコードに集中したい
    • Security予算がない

Managed Rules on AWS WAF

  • セキュリティルールプロバイダによって管理・作成されたルール
  • Marketplace上で販売
  • AWS WAF上にデプロイ

【セミナー2】LIFULLにおけるAWS WAFの活用事例

  • LIFULL今井さん
    • LIFULL HOME'S
    • 暮らしに関する様々なサービスを展開している

背景

  • 賃貸画像配信のためにCloudFrontを使用
  • 既存のセキュリティ製品を組み込むのは困難だった
  • AWS WAFマネージドルール

導入前の課題

  • 誤遮断
    • 設定を検知にして遮断ログからチェック
  • 当時はWAFログ出力がなかった
    • Lambdaで対応
      • 3時間毎にS3にログ出力
  • ルールチューニングが手間
    • マネージドルールの実装

f:id:yokoyantech:20190912183031p:plain

導入後わかったこと

  • 適用するマネージドルールによって遮断対象が大幅に変化する
    • どれが最適かはわからない。一概に言えない
      • 導入先のサイトの特性による
    • 試せるなら一通り試したほうがいい
  • 複数ルールではなく単一ルールを実装
    • 確実にふるい落としたい設定を実装するのが効果的
  • 適用した対象の通信量で利用料金が大幅に変化
    • 最適なルールにしないと検出しないがコストがかかる状況になる

結論

  • 即時適用可能
  • 多層防御の観点から、境界Securityとして第一の防波堤にするのに向いてる
    • CloudFront,ALB

今後の期待

  • ログの遮断理由を出力して欲しい
  • マネージドルールを豊富にして欲しい
    • ALBにも入れたい

【セミナー3】AWS Edgeサービスを利用した境界防御 後編

  • AWS 中谷さん

課金の考え方

  1. 関連リソース
  2. ALB
  3. CloudFrontなど
  4. ACLの作成
  5. 1ACLあたり10ルールまで
  6. ルールの作成
  7. Conditionの作成

  8. 基本ルール

    • ACLの中に何ルールあるか?
    • リクエストを何件処理したか?

料金

  • AWS WAF
    • WebACL 5$
    • 1ルールにつき1$

料金例

  • CloudFrontなし
    • 100万PV、1ページあたり50コンテンツ
      • 5000万リクエスト
    • 月45$くらい
  • CloudFrontあり
    • 90%はキャッシュ
    • 月18$くらい
  • パートナールール
    • 月140$くらい
  • API GWでの利用
    • 5000万APIリクエスト想定
    • 月48$くらい
  • API GW大量リクエスト
    • 80億APIリクエスト
    • 月4815$
  • API GW大量リクエスト+Shield Advanceあり
    • 月3500$
      • 3000$+データ転送量500$

Shield Advancedの料金

  • 3000$は、組織単位での課金
  • アカウント単位ではない
    • 2つのアカウントがあれば、1アカウントあたり1500$
    • 10アカウントあれば、1アカウントあたり300$

大量データを処理してかつ、複数アカウントがあるときは有効、ということですね。

利用形態

  • 全部自分でやる
    • 自分でルール作成/運用
    • AWS WAFSecurityAutomation(CloudFormation)を提供している
    • AWS WAF Dashboard
      • githubで公開中
      • 世界のどこからアクセスされているかを可視化
  • マネージドルール
    • 6つのパートナー/15ルール
    • OWASP、CMS、APIの3つのカテゴリ
  • マネージドサービス
    • AWSでは現状提供してない

【セミナー4】AWS WAF自動運用 WafCharmについて

  • サイバーセキュリティクラウド渡辺さん

f:id:yokoyantech:20190912182908p:plain

課題

  • AWS WAFはセルフサービス
  • 自分たちでWAFの運用が必要
  • サポート
    • メール対応のみ
    • マネージドルール以外はサポート対象外
  • アップデート
  • 誤検知
    • チューニングができない
    • 気づきが遅れる
  • ルール選び
  • 網羅性
    • 10個では不安・・・

WafCharmとは

  • サイト毎に最適なルールを設定
  • ルール10個で漏れた攻撃は、数百のシグネチャで再マッチング
    • 攻撃認定したものはブラックリスト登録
  • 新規脆弱性への対応
    • リサーチャーがチェック、シグネチャ作成、即時適用
  • 誤対応
    • 24H365対応
    • ログを分析して対応
      • S3に格納したログを分析
  • ユースケース毎の柔軟な対応
    • アプリ固有の事情を加味したカスタマイズも可能

価格

  • エントリーレベルで月5000円から
    • 8H×5Dサポート
    • カスタマイズは有料

安いので、ぜひ試してみたい。

【セミナー5】F5によるAWS上でのBot対策ソリューション

  • f5 髙田さん

Botとは

  • インターネットからの42%の通信はBotによって生成されている
  • Botによるトラフィックの50%は悪性

影響

  • セキュリティ面での影響
    • Botによる攻撃
  • コスト面での影響
    • リソース、データ転送量に課金される

bot対策WAFソリューション

  • Managed Rules for AWS WAF
    • 4種類のルール提供
      • OWASP TOP10
      • CVE対策
      • Bot対策
      • API保護

f:id:yokoyantech:20190912183145p:plain

BIG-IP VE(F5 Advanced WAF)

  • EC2のアプライアンスとして提供
    • F5 Githubにて、CloudFormationテンプレートを提供
  • 主な特徴
    • 悪性botからの防御
    • 既知の不正リクエストからの防御
      • 誤検知が少ない仕組み
    • 送信元識別による防御
    • 漏洩した認証情報を使用したアクセスを防御
    • 振る舞い分析によるL7 DoS防御
    • 指定フィールドの暗号化によりMiTM攻撃を防御
    • Response内の秘匿情報のマスキング
  • WAS Security Hubとの統合

まとめ

AWSの招待制のセミナーは無料だけど非常に質が高いと感じます。これからも招待いただいたセミナーには継続して参加していきたいと思います!まずはWafcharmの導入を検討していきます。