Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WafCharm使ってみた
Search
Tsukasa_Ishimaru
August 28, 2024
Technology
300
0
Share
WafCharm使ってみた
Tsukasa_Ishimaru
August 28, 2024
More Decks by Tsukasa_Ishimaru
See All by Tsukasa_Ishimaru
Aurora_BlueGreenDeploymentsやってみた
tsukasa_ishimaru
1
250
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
5
2.5k
AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた
tsukasa_ishimaru
0
250
AWS Application Composer使ってみた
tsukasa_ishimaru
0
300
AWSコスト削減~EC2・RDS自動起動・停止~
tsukasa_ishimaru
0
360
Other Decks in Technology
See All in Technology
AIはハッカーを減らすのか、増やすのか?──現役ホワイトハッカーから見るAI時代のリアル【MEGU-Meet】
cscengineer
PRO
0
220
「SaaSの次の時代」に重要性を増すステークホルダーマネジメントの要諦 ~解像度を圧倒的に高めPdMの価値を最大化させる方法~
kakehashi
PRO
3
2.7k
ServiceNow Knowledge 26 の歩き方
manarobot
0
220
コミュニティ・勉強会を作るのは目的じゃない
ohmori_yusuke
0
270
VespaのParent Childを用いたフィードパフォーマンスの改善
taking
0
120
260422_Sansan_Tech_Talk__関西_vol.3_データ活用のリアル__矢田__.pdf
sansantech
PRO
0
130
AWS Agent Registry の基礎・概要を理解する/aws-agent-registry-intro
ren8k
3
410
AgentCore×VPCでの設計パターンn選と勘所
har1101
4
340
20260428_Product Management Summit_Loglass_JoeHirose
loglassjoe
3
4k
Rapid Start: Faster Internet Connections, with Ruby's Help
kazuho
2
830
AI時代 に増える データ活用先
takahal
0
330
AIでAIをテストする - 音声AIエージェントの品質保証戦略
morix1500
1
150
Featured
See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.7k
Are puppies a ranking factor?
jonoalderson
1
3.3k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.3k
The Curious Case for Waylosing
cassininazir
0
320
Deep Space Network (abreviated)
tonyrice
0
120
WCS-LA-2024
lcolladotor
0
550
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
460
How to build a perfect <img>
jonoalderson
1
5.4k
Statistics for Hackers
jakevdp
799
230k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
720
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.2k
4 Signs Your Business is Dying
shpigford
187
22k
Transcript
WafCharm使ってみた 2024年8月28日 株式会社セゾンテクノロジー クラウドLT大会 vol.10 石丸 司 1
目次 1.自己紹介 2.課題設定 3.解決方法 4.設定してみた 5.使ってみた 6.良いところ 7.悪いところ 8.おわりに 2
1. 自己紹介 ▪氏名:石丸司(いしまるつかさ) ▪所属:セゾンテクノロジー ▪経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 :
基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ▪最近の活動 Japan AWS Top Engineers選出を目指し、 資格取得、Qiita投稿・LT登壇などを実施中 @tsukasa_aws 3 @Tsukasa_Ishimaru
2. 課題設定 ・インターネットに公開されたWEBシステム基盤を構築していて、 AWS WAFは導入したけど、運用を設計しきれていない ・AWS WAFは導入しているけれど、セキュリティ専任チームもいなくて、 定期的な最新ルールの差し替え等の作業は、 正直放置している 4
ここのお話
3. 解決方法 使用するサービス(AWS外部) ブロックルールの自動更新 ブラックリストへの自動登録 サポートによるトラブル発生時での、 原因特定やルール調整 5 https://www.wafcharm.com/jp/
3. 解決方法(続き) WafCharm導入後の構成イメージ 6 ①ログ出力 ②ログ連携 ③ルール更新
4. 設定してみた ①マーケットプレイスでWafCharmをサブスクライブ ②リンクからWafCharmのアカウント登録 ③Credential登録(WafCharm用IAMロール作成・登録) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 7 設定の流れ
4. 設定してみた(続き) ①マーケットプレイスでWafCharmをサブスクライブ 8 利用時間による従量課金 + アクセス数に応じた課金
4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録 9
4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録(続き) 10
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 11 json形式の信頼ポリシーが生成される
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 12 ・AmazonS3ReadOnlyAccess ・AWSWAFFullAccess ・CloudWatchReadOnlyAccess WafCharm管理画面で生成した 信頼ポリシーをコピペ
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 13
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 14
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 15
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 16
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 17
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 18
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 19
5. 使ってみた ①どれほど攻撃がきているのか確認 20
5. 使ってみた(続き) ②WAFログ確認 21
5. 使ってみた(続き) ②WAFログ確認 22
4. 使ってみた(続き) ③ブラックリストへの手動登録 23
4. 使ってみた(続き) ③ブラックリストへの手動登録 24
5. 使ってみた(続き) ③ブラックリストへの手動登録 25 登録前 登録後
5. 使ってみた(続き) ④月次レポート確認(レガシーver.) 26
6. 良いところ ・導入が簡単 30分程で完了 ・ルールの自動更新 AWS WAF:定期的に手動で更新が必要(適用するルールの選定も必要) ⇒誤検知等のトラブルが起きない限り、ほったらかしでOK ・WafCharm管理画面でWAFログの参照ができる AWS
WAF:Athenaのクエリを事前に用意してログの検索・参照を行う ⇒管理画面でログの検索・参照ができる ・月次レポート お客様へのレポート提出が必要な場合、そのまま提出可能 27
7. 悪いところ 28 ・環境(AWSアカウント)毎にWafCharmの利用料を分割できない マーケットプレイス経由で購買した場合、WafCharmの利用料は、 サブスクリプションしたAWSアカウントに全額請求される。 →環境毎に分割するには、環境毎にWafCharmのアカウントが必要 ・設定時にエラーが発生した場合、エラーメッセージが何も表示されない CloudTrailの証跡を参照してユーザー名:wafcharmで絞り込んで確認する必要あり →・WAFログ格納先のS3バケットポリシーで権限制限
・WAFログ格納先のS3バケットをカスタムKMSで暗号化&権限制限 →S3バケットとKMSのリソースベースポリシーに、 WafCharm用IAMロールへの許可設定が必要だった
8. おわりに • WafCharmを導入して、WAFの運用作業から解放されましょう 29
ご清聴ありがとうございました 30
tsukasa_ishimaru
cscengineer
kakehashi
manarobot
ohmori_yusuke
taking
sansantech
ren8k
har1101
loglassjoe
kazuho
takahal
morix1500
jcasabona
jonoalderson
mraible
cassininazir
tonyrice
lcolladotor
portentint
jakevdp
nmsamuel
kastner
shpigford
