Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

WafCharm使ってみた

Avatar for Tsukasa_Ishimaru Tsukasa_Ishimaru
August 28, 2024
Technology
0
280

 WafCharm使ってみた

Avatar for Tsukasa_Ishimaru

Tsukasa_Ishimaru

August 28, 2024
Tweet

More Decks by Tsukasa_Ishimaru

See All by Tsukasa_Ishimaru
Aurora_BlueGreenDeploymentsやってみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
1
230
IaCジェネレーターとBedrockで詳細設計書を生成してみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
5
2.4k
AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
0
220
AWS Application Composer使ってみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
0
290
AWSコスト削減~EC2・RDS自動起動・停止~
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
0
340

Other Decks in Technology

See All in Technology
Authlete で実装する MCP OAuth 認可サーバー #CIMD の実装を添えて
Avatar for watahani watahani
0
180
Bedrock AgentCore Evaluationsで学ぶLLM as a judge入門
Avatar for ShichijoYuhi shichijoyuhi
2
250
Bedrock AgentCore Memoryの新機能 (Episode) を試してみた / try Bedrock AgentCore Memory Episodic functionarity
Avatar for hoshi7_n hoshi7_n
2
1.9k
20251203_AIxIoTビジネス共創ラボ_第4回勉強会_BP山崎.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
140
AWSの新機能をフル活用した「re:Inventエージェント」開発秘話
Avatar for みのるん minorun365
2
460
オープンソースKeycloakのMCP認可サーバの仕様の対応状況 / 20251219 OpenID BizDay #18 LT Keycloak
Avatar for OpenID Foundation Japan oidfj
0
170
AI駆動開発の実践とその未来
Avatar for Ikko Eltociear Ashimine eltociear
2
490
ハッカソンから社内プロダクトへ AIエージェント「ko☆shi」開発で学んだ4つの重要要素
Avatar for そのだ sonoda_mj
6
1.7k
MariaDB Connector/C のcaching_sha2_passwordプラグインの仕様について
Avatar for kubo ayumu boro1234
0
1k
テストセンター受験、オンライン受験、どっちなんだい?
Avatar for Yuuki Yamashita yama3133
0
160
通勤手当申請チェックエージェント開発のリアル
Avatar for WHIsaiyo whisaiyo
3
470
SQLだけでマイグレーションしたい!
Avatar for MakKi makki_d
0
1.2k

Featured

See All Featured
Lessons Learnt from Crawling 1000+ Websites
Avatar for Charles Meaden charlesmeaden
0
950
Building a A Zero-Code AI SEO Workflow
Avatar for Ian Lurie portentint
PRO
0
190
Done Done
Avatar for chrislema chrislema
186
16k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.4k
Digital Ethics as a Driver of Design Innovation
Avatar for Per Axbom axbom
PRO
0
130
The Hidden Cost of Media on the Web [PixelPalooza 2025]
Avatar for Tammy Everts tammyeverts
2
120
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.8k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
820
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
150
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
1
280
Claude Code のすすめ
Avatar for schroneko schroneko
67
210k

Transcript

  1. WafCharm使ってみた 2024年8月28日 株式会社セゾンテクノロジー クラウドLT大会 vol.10 石丸 司 1

  2. 目次 1.自己紹介 2.課題設定 3.解決方法 4.設定してみた 5.使ってみた 6.良いところ 7.悪いところ 8.おわりに 2

  3. 1. 自己紹介 ▪氏名:石丸司(いしまるつかさ) ▪所属:セゾンテクノロジー ▪経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 :

    基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ▪最近の活動 Japan AWS Top Engineers選出を目指し、 資格取得、Qiita投稿・LT登壇などを実施中 @tsukasa_aws 3 @Tsukasa_Ishimaru

  4. 2. 課題設定 ・インターネットに公開されたWEBシステム基盤を構築していて、 AWS WAFは導入したけど、運用を設計しきれていない ・AWS WAFは導入しているけれど、セキュリティ専任チームもいなくて、 定期的な最新ルールの差し替え等の作業は、 正直放置している 4

    ここのお話

  5. 3. 解決方法 使用するサービス(AWS外部) ブロックルールの自動更新 ブラックリストへの自動登録 サポートによるトラブル発生時での、 原因特定やルール調整 5 https://www.wafcharm.com/jp/

  6. 3. 解決方法(続き) WafCharm導入後の構成イメージ 6 ①ログ出力 ②ログ連携 ③ルール更新

  7. 4. 設定してみた ①マーケットプレイスでWafCharmをサブスクライブ ②リンクからWafCharmのアカウント登録 ③Credential登録(WafCharm用IAMロール作成・登録) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 7 設定の流れ

  8. 4. 設定してみた(続き) ①マーケットプレイスでWafCharmをサブスクライブ 8 利用時間による従量課金 + アクセス数に応じた課金

  9. 4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録 9

  10. 4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録(続き) 10

  11. 4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 11 json形式の信頼ポリシーが生成される

  12. 4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 12 ・AmazonS3ReadOnlyAccess ・AWSWAFFullAccess ・CloudWatchReadOnlyAccess WafCharm管理画面で生成した 信頼ポリシーをコピペ

  13. 4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 13

  14. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 14

  15. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 15

  16. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 16

  17. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 17

  18. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 18

  19. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 19

  20. 5. 使ってみた ①どれほど攻撃がきているのか確認 20

  21. 5. 使ってみた(続き) ②WAFログ確認 21

  22. 5. 使ってみた(続き) ②WAFログ確認 22

  23. 4. 使ってみた(続き) ③ブラックリストへの手動登録 23

  24. 4. 使ってみた(続き) ③ブラックリストへの手動登録 24

  25. 5. 使ってみた(続き) ③ブラックリストへの手動登録 25 登録前 登録後

  26. 5. 使ってみた(続き) ④月次レポート確認(レガシーver.) 26

  27. 6. 良いところ ・導入が簡単 30分程で完了 ・ルールの自動更新 AWS WAF:定期的に手動で更新が必要(適用するルールの選定も必要) ⇒誤検知等のトラブルが起きない限り、ほったらかしでOK ・WafCharm管理画面でWAFログの参照ができる AWS

    WAF:Athenaのクエリを事前に用意してログの検索・参照を行う ⇒管理画面でログの検索・参照ができる ・月次レポート お客様へのレポート提出が必要な場合、そのまま提出可能 27

  28. 7. 悪いところ 28 ・環境(AWSアカウント)毎にWafCharmの利用料を分割できない マーケットプレイス経由で購買した場合、WafCharmの利用料は、 サブスクリプションしたAWSアカウントに全額請求される。 →環境毎に分割するには、環境毎にWafCharmのアカウントが必要 ・設定時にエラーが発生した場合、エラーメッセージが何も表示されない CloudTrailの証跡を参照してユーザー名:wafcharmで絞り込んで確認する必要あり →・WAFログ格納先のS3バケットポリシーで権限制限

    ・WAFログ格納先のS3バケットをカスタムKMSで暗号化&権限制限 →S3バケットとKMSのリソースベースポリシーに、 WafCharm用IAMロールへの許可設定が必要だった

  29. 8. おわりに • WafCharmを導入して、WAFの運用作業から解放されましょう 29

  30. ご清聴ありがとうございました 30