Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WafCharm使ってみた

Avatar for Tsukasa_Ishimaru Tsukasa_Ishimaru
August 28, 2024
Technology
0
240

 WafCharm使ってみた

Avatar for Tsukasa_Ishimaru

Tsukasa_Ishimaru

August 28, 2024
Tweet

More Decks by Tsukasa_Ishimaru

See All by Tsukasa_Ishimaru
Aurora_BlueGreenDeploymentsやってみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
1
210
IaCジェネレーターとBedrockで詳細設計書を生成してみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
5
2.2k
AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
0
180
AWS Application Composer使ってみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
0
280
AWSコスト削減~EC2・RDS自動起動・停止~
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
0
330

Other Decks in Technology

See All in Technology
機械学習を扱うプラットフォーム開発と運用事例
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
670
Platform開発が先行する Platform Engineeringの違和感
Avatar for KintoTech_Dev kintotechdev
4
590
組織を巻き込む大規模プラットフォーム移行戦略 〜50+サービスのマルチリージョン・マルチプロダクト化で学んだステークホルダー協働の実践〜 / Platform migration strategy engaging all stakeholders
Avatar for Toshinori Sugita toshi0607
2
220
AIがコード書きすぎ問題にはAIで立ち向かえ
Avatar for jyoshise jyoshise
1
570
「その開発、認知負荷高すぎませんか?」Platform Engineeringで始める開発者体験カイゼン術
Avatar for SansanTech sansantech
PRO
2
1k
dbt開発 with Claude Codeのためのガードレール設計
Avatar for 10xinc 10xinc
2
1.3k
2025/09/16 仕様駆動開発とAI-DLCが導くAI駆動開発の新フェーズ
Avatar for オカムラ masahiro_okamura
0
140
[ JAWS-UG 東京 CommunityBuilders Night #2 ]SlackとAmazon Q Developerで 運用効率化を模索する
Avatar for sh_fk2 sh_fk2
3
460
DroidKaigi 2025 Androidエンジニアとしてのキャリア
Avatar for mhidaka mhidaka
2
390
TS-S205_昨年対比2倍以上の機能追加を実現するデータ基盤プロジェクトでのAI活用について
Avatar for K.Mitsuhashi kaz3284
1
230
使いやすいプラットフォームの作り方 ー LINEヤフーのKubernetes基盤に学ぶ理論と実践
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
160
20250913_JAWS_sysad_kobe
Avatar for Takuya Yonezawa takuyay0ne
2
250

Featured

See All Featured
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
358
30k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
127
53k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
53
7.8k
KATA
Avatar for Megan Lloyd mclloyd
32
14k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.8k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
45
7.7k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.6k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
36
2.5k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
339
57k

Transcript

  1. WafCharm使ってみた 2024年8月28日 株式会社セゾンテクノロジー クラウドLT大会 vol.10 石丸 司 1

  2. 目次 1.自己紹介 2.課題設定 3.解決方法 4.設定してみた 5.使ってみた 6.良いところ 7.悪いところ 8.おわりに 2

  3. 1. 自己紹介 ▪氏名:石丸司(いしまるつかさ) ▪所属:セゾンテクノロジー ▪経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 :

    基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ▪最近の活動 Japan AWS Top Engineers選出を目指し、 資格取得、Qiita投稿・LT登壇などを実施中 @tsukasa_aws 3 @Tsukasa_Ishimaru

  4. 2. 課題設定 ・インターネットに公開されたWEBシステム基盤を構築していて、 AWS WAFは導入したけど、運用を設計しきれていない ・AWS WAFは導入しているけれど、セキュリティ専任チームもいなくて、 定期的な最新ルールの差し替え等の作業は、 正直放置している 4

    ここのお話

  5. 3. 解決方法 使用するサービス(AWS外部) ブロックルールの自動更新 ブラックリストへの自動登録 サポートによるトラブル発生時での、 原因特定やルール調整 5 https://www.wafcharm.com/jp/

  6. 3. 解決方法(続き) WafCharm導入後の構成イメージ 6 ①ログ出力 ②ログ連携 ③ルール更新

  7. 4. 設定してみた ①マーケットプレイスでWafCharmをサブスクライブ ②リンクからWafCharmのアカウント登録 ③Credential登録(WafCharm用IAMロール作成・登録) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 7 設定の流れ

  8. 4. 設定してみた(続き) ①マーケットプレイスでWafCharmをサブスクライブ 8 利用時間による従量課金 + アクセス数に応じた課金

  9. 4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録 9

  10. 4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録(続き) 10

  11. 4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 11 json形式の信頼ポリシーが生成される

  12. 4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 12 ・AmazonS3ReadOnlyAccess ・AWSWAFFullAccess ・CloudWatchReadOnlyAccess WafCharm管理画面で生成した 信頼ポリシーをコピペ

  13. 4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 13

  14. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 14

  15. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 15

  16. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 16

  17. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 17

  18. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 18

  19. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 19

  20. 5. 使ってみた ①どれほど攻撃がきているのか確認 20

  21. 5. 使ってみた(続き) ②WAFログ確認 21

  22. 5. 使ってみた(続き) ②WAFログ確認 22

  23. 4. 使ってみた(続き) ③ブラックリストへの手動登録 23

  24. 4. 使ってみた(続き) ③ブラックリストへの手動登録 24

  25. 5. 使ってみた(続き) ③ブラックリストへの手動登録 25 登録前 登録後

  26. 5. 使ってみた(続き) ④月次レポート確認(レガシーver.) 26

  27. 6. 良いところ ・導入が簡単 30分程で完了 ・ルールの自動更新 AWS WAF:定期的に手動で更新が必要(適用するルールの選定も必要) ⇒誤検知等のトラブルが起きない限り、ほったらかしでOK ・WafCharm管理画面でWAFログの参照ができる AWS

    WAF:Athenaのクエリを事前に用意してログの検索・参照を行う ⇒管理画面でログの検索・参照ができる ・月次レポート お客様へのレポート提出が必要な場合、そのまま提出可能 27

  28. 7. 悪いところ 28 ・環境(AWSアカウント)毎にWafCharmの利用料を分割できない マーケットプレイス経由で購買した場合、WafCharmの利用料は、 サブスクリプションしたAWSアカウントに全額請求される。 →環境毎に分割するには、環境毎にWafCharmのアカウントが必要 ・設定時にエラーが発生した場合、エラーメッセージが何も表示されない CloudTrailの証跡を参照してユーザー名:wafcharmで絞り込んで確認する必要あり →・WAFログ格納先のS3バケットポリシーで権限制限

    ・WAFログ格納先のS3バケットをカスタムKMSで暗号化&権限制限 →S3バケットとKMSのリソースベースポリシーに、 WafCharm用IAMロールへの許可設定が必要だった

  29. 8. おわりに • WafCharmを導入して、WAFの運用作業から解放されましょう 29

  30. ご清聴ありがとうございました 30