Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WafCharm使ってみた
Search
Tsukasa_Ishimaru
August 28, 2024
Technology
0
160
WafCharm使ってみた
Tsukasa_Ishimaru
August 28, 2024
Tweet
Share
More Decks by Tsukasa_Ishimaru
See All by Tsukasa_Ishimaru
Aurora_BlueGreenDeploymentsやってみた
tsukasa_ishimaru
1
140
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
5
1.6k
AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた
tsukasa_ishimaru
0
140
AWS Application Composer使ってみた
tsukasa_ishimaru
0
230
AWSコスト削減~EC2・RDS自動起動・停止~
tsukasa_ishimaru
0
280
Other Decks in Technology
See All in Technology
非機能品質を作り込むための実践アーキテクチャ
knih
5
1.6k
ずっと昔に Star をつけたはずの思い出せない GitHub リポジトリを見つけたい!
rokuosan
0
150
マイクロサービスにおける容易なトランザクション管理に向けて
scalar
0
170
日本版とグローバル版のモバイルアプリ統合の開発の裏側と今後の展望
miichan
1
140
2024年にチャレンジしたことを振り返るぞ
mitchan
0
140
統計データで2024年の クラウド・インフラ動向を眺める
ysknsid25
2
860
UI State設計とテスト方針
rmakiyama
2
740
20241220_S3 tablesの使い方を検証してみた
handy
4
660
サイバー攻撃を想定したセキュリティガイドライン 策定とASM及びCNAPPの活用方法
syoshie
3
1.4k
Microsoft Azure全冠になってみた ~アレを使い倒した者が試験を制す!?~/Obtained all Microsoft Azure certifications Those who use "that" to the full will win the exam! ?
yuj1osm
2
120
サイボウズフロントエンドエキスパートチームについて / FrontendExpert Team
cybozuinsideout
PRO
5
38k
Qiita埋め込み用スライド
naoki_0531
0
5.2k
Featured
See All Featured
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.6k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
32
2.7k
Building Applications with DynamoDB
mza
91
6.1k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
Reflections from 52 weeks, 52 projects
jeffersonlam
347
20k
A Modern Web Designer's Workflow
chriscoyier
693
190k
A better future with KSS
kneath
238
17k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
66k
GraphQLとの向き合い方2022年版
quramy
44
13k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
132
33k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.4k
Transcript
WafCharm使ってみた 2024年8月28日 株式会社セゾンテクノロジー クラウドLT大会 vol.10 石丸 司 1
目次 1.自己紹介 2.課題設定 3.解決方法 4.設定してみた 5.使ってみた 6.良いところ 7.悪いところ 8.おわりに 2
1. 自己紹介 ▪氏名:石丸司(いしまるつかさ) ▪所属:セゾンテクノロジー ▪経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 :
基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ▪最近の活動 Japan AWS Top Engineers選出を目指し、 資格取得、Qiita投稿・LT登壇などを実施中 @tsukasa_aws 3 @Tsukasa_Ishimaru
2. 課題設定 ・インターネットに公開されたWEBシステム基盤を構築していて、 AWS WAFは導入したけど、運用を設計しきれていない ・AWS WAFは導入しているけれど、セキュリティ専任チームもいなくて、 定期的な最新ルールの差し替え等の作業は、 正直放置している 4
ここのお話
3. 解決方法 使用するサービス(AWS外部) ブロックルールの自動更新 ブラックリストへの自動登録 サポートによるトラブル発生時での、 原因特定やルール調整 5 https://www.wafcharm.com/jp/
3. 解決方法(続き) WafCharm導入後の構成イメージ 6 ①ログ出力 ②ログ連携 ③ルール更新
4. 設定してみた ①マーケットプレイスでWafCharmをサブスクライブ ②リンクからWafCharmのアカウント登録 ③Credential登録(WafCharm用IAMロール作成・登録) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 7 設定の流れ
4. 設定してみた(続き) ①マーケットプレイスでWafCharmをサブスクライブ 8 利用時間による従量課金 + アクセス数に応じた課金
4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録 9
4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録(続き) 10
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 11 json形式の信頼ポリシーが生成される
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 12 ・AmazonS3ReadOnlyAccess ・AWSWAFFullAccess ・CloudWatchReadOnlyAccess WafCharm管理画面で生成した 信頼ポリシーをコピペ
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 13
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 14
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 15
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 16
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 17
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 18
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 19
5. 使ってみた ①どれほど攻撃がきているのか確認 20
5. 使ってみた(続き) ②WAFログ確認 21
5. 使ってみた(続き) ②WAFログ確認 22
4. 使ってみた(続き) ③ブラックリストへの手動登録 23
4. 使ってみた(続き) ③ブラックリストへの手動登録 24
5. 使ってみた(続き) ③ブラックリストへの手動登録 25 登録前 登録後
5. 使ってみた(続き) ④月次レポート確認(レガシーver.) 26
6. 良いところ ・導入が簡単 30分程で完了 ・ルールの自動更新 AWS WAF:定期的に手動で更新が必要(適用するルールの選定も必要) ⇒誤検知等のトラブルが起きない限り、ほったらかしでOK ・WafCharm管理画面でWAFログの参照ができる AWS
WAF:Athenaのクエリを事前に用意してログの検索・参照を行う ⇒管理画面でログの検索・参照ができる ・月次レポート お客様へのレポート提出が必要な場合、そのまま提出可能 27
7. 悪いところ 28 ・環境(AWSアカウント)毎にWafCharmの利用料を分割できない マーケットプレイス経由で購買した場合、WafCharmの利用料は、 サブスクリプションしたAWSアカウントに全額請求される。 →環境毎に分割するには、環境毎にWafCharmのアカウントが必要 ・設定時にエラーが発生した場合、エラーメッセージが何も表示されない CloudTrailの証跡を参照してユーザー名:wafcharmで絞り込んで確認する必要あり →・WAFログ格納先のS3バケットポリシーで権限制限
・WAFログ格納先のS3バケットをカスタムKMSで暗号化&権限制限 →S3バケットとKMSのリソースベースポリシーに、 WafCharm用IAMロールへの許可設定が必要だった
8. おわりに • WafCharmを導入して、WAFの運用作業から解放されましょう 29
ご清聴ありがとうございました 30