Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WafCharm使ってみた
Search
Tsukasa_Ishimaru
August 28, 2024
Technology
0
240
WafCharm使ってみた
Tsukasa_Ishimaru
August 28, 2024
Tweet
Share
More Decks by Tsukasa_Ishimaru
See All by Tsukasa_Ishimaru
Aurora_BlueGreenDeploymentsやってみた
tsukasa_ishimaru
1
210
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
5
2.1k
AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた
tsukasa_ishimaru
0
180
AWS Application Composer使ってみた
tsukasa_ishimaru
0
280
AWSコスト削減~EC2・RDS自動起動・停止~
tsukasa_ishimaru
0
330
Other Decks in Technology
See All in Technology
ZOZOTOWNの大規模マーケティングメール配信を支えるアーキテクチャ
zozotech
PRO
0
450
Google Cloud で学ぶデータエンジニアリング入門 2025年版 #GoogleCloudNext / 20250805
kazaneya
PRO
22
5.6k
Amazon Bedrock AgentCoreのフロントエンドを探す旅 (Next.js編)
kmiya84377
1
150
「Roblox」の開発環境とその効率化 ~DAU9700万人超の巨大プラットフォームの開発 事始め~
keitatanji
0
130
専門分化が進む分業下でもユーザーが本当に欲しかったものを追求するプロダクトマネジメント/Focus on real user needs despite deep specialization and division of labor
moriyuya
2
1.4k
[OCI Technical Deep Dive] OracleのAI戦略(2025年8月5日開催)
oracle4engineer
PRO
1
200
【新卒研修資料】数理最適化 / Mathematical Optimization
brainpadpr
28
13k
Foundation Model × VisionKit で実現するローカル OCR
sansantech
PRO
1
390
Intro to Software Startups: Spring 2025
arnabdotorg
0
260
20250807 Applied Engineer Open House
sakana_ai
PRO
2
470
九州の人に知ってもらいたいGISスポット / gis spot in kyushu 2025
sakaik
0
180
AI時代の大規模データ活用とセキュリティ戦略
ken5scal
0
150
Featured
See All Featured
A Tale of Four Properties
chriscoyier
160
23k
How STYLIGHT went responsive
nonsquared
100
5.7k
Producing Creativity
orderedlist
PRO
347
40k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
47
9.6k
Visualization
eitanlees
146
16k
Git: the NoSQL Database
bkeepers
PRO
431
65k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.8k
4 Signs Your Business is Dying
shpigford
184
22k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Build The Right Thing And Hit Your Dates
maggiecrowley
37
2.8k
Navigating Team Friction
lara
188
15k
The Art of Programming - Codeland 2020
erikaheidi
54
13k
Transcript
WafCharm使ってみた 2024年8月28日 株式会社セゾンテクノロジー クラウドLT大会 vol.10 石丸 司 1
目次 1.自己紹介 2.課題設定 3.解決方法 4.設定してみた 5.使ってみた 6.良いところ 7.悪いところ 8.おわりに 2
1. 自己紹介 ▪氏名:石丸司(いしまるつかさ) ▪所属:セゾンテクノロジー ▪経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 :
基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ▪最近の活動 Japan AWS Top Engineers選出を目指し、 資格取得、Qiita投稿・LT登壇などを実施中 @tsukasa_aws 3 @Tsukasa_Ishimaru
2. 課題設定 ・インターネットに公開されたWEBシステム基盤を構築していて、 AWS WAFは導入したけど、運用を設計しきれていない ・AWS WAFは導入しているけれど、セキュリティ専任チームもいなくて、 定期的な最新ルールの差し替え等の作業は、 正直放置している 4
ここのお話
3. 解決方法 使用するサービス(AWS外部) ブロックルールの自動更新 ブラックリストへの自動登録 サポートによるトラブル発生時での、 原因特定やルール調整 5 https://www.wafcharm.com/jp/
3. 解決方法(続き) WafCharm導入後の構成イメージ 6 ①ログ出力 ②ログ連携 ③ルール更新
4. 設定してみた ①マーケットプレイスでWafCharmをサブスクライブ ②リンクからWafCharmのアカウント登録 ③Credential登録(WafCharm用IAMロール作成・登録) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 7 設定の流れ
4. 設定してみた(続き) ①マーケットプレイスでWafCharmをサブスクライブ 8 利用時間による従量課金 + アクセス数に応じた課金
4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録 9
4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録(続き) 10
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 11 json形式の信頼ポリシーが生成される
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 12 ・AmazonS3ReadOnlyAccess ・AWSWAFFullAccess ・CloudWatchReadOnlyAccess WafCharm管理画面で生成した 信頼ポリシーをコピペ
4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 13
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 14
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 15
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 16
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 17
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 18
4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 19
5. 使ってみた ①どれほど攻撃がきているのか確認 20
5. 使ってみた(続き) ②WAFログ確認 21
5. 使ってみた(続き) ②WAFログ確認 22
4. 使ってみた(続き) ③ブラックリストへの手動登録 23
4. 使ってみた(続き) ③ブラックリストへの手動登録 24
5. 使ってみた(続き) ③ブラックリストへの手動登録 25 登録前 登録後
5. 使ってみた(続き) ④月次レポート確認(レガシーver.) 26
6. 良いところ ・導入が簡単 30分程で完了 ・ルールの自動更新 AWS WAF:定期的に手動で更新が必要(適用するルールの選定も必要) ⇒誤検知等のトラブルが起きない限り、ほったらかしでOK ・WafCharm管理画面でWAFログの参照ができる AWS
WAF:Athenaのクエリを事前に用意してログの検索・参照を行う ⇒管理画面でログの検索・参照ができる ・月次レポート お客様へのレポート提出が必要な場合、そのまま提出可能 27
7. 悪いところ 28 ・環境(AWSアカウント)毎にWafCharmの利用料を分割できない マーケットプレイス経由で購買した場合、WafCharmの利用料は、 サブスクリプションしたAWSアカウントに全額請求される。 →環境毎に分割するには、環境毎にWafCharmのアカウントが必要 ・設定時にエラーが発生した場合、エラーメッセージが何も表示されない CloudTrailの証跡を参照してユーザー名:wafcharmで絞り込んで確認する必要あり →・WAFログ格納先のS3バケットポリシーで権限制限
・WAFログ格納先のS3バケットをカスタムKMSで暗号化&権限制限 →S3バケットとKMSのリソースベースポリシーに、 WafCharm用IAMロールへの許可設定が必要だった
8. おわりに • WafCharmを導入して、WAFの運用作業から解放されましょう 29
ご清聴ありがとうございました 30
tsukasa_ishimaru
zozotech
kazaneya
kmiya84377
keitatanji
moriyuya
oracle4engineer
brainpadpr
sansantech
arnabdotorg
%20(1).jpg){kind=avatar}
sakana_ai
sakaik
ken5scal
chriscoyier
nonsquared
orderedlist
mongodb
eitanlees
bkeepers
danielanewman
shpigford
wjessup
maggiecrowley
lara
erikaheidi
