Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

WafCharm使ってみた

Avatar for Tsukasa_Ishimaru Tsukasa_Ishimaru
August 28, 2024
Technology
0
270

 WafCharm使ってみた

Avatar for Tsukasa_Ishimaru

Tsukasa_Ishimaru

August 28, 2024
Tweet

More Decks by Tsukasa_Ishimaru

See All by Tsukasa_Ishimaru
Aurora_BlueGreenDeploymentsやってみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
1
220
IaCジェネレーターとBedrockで詳細設計書を生成してみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
5
2.3k
AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
0
200
AWS Application Composer使ってみた
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
0
280
AWSコスト削減~EC2・RDS自動起動・停止~
Avatar for Tsukasa_Ishimaru tsukasa_ishimaru
0
330

Other Decks in Technology

See All in Technology
オープンデータの内製化から分かったGISデータを巡る行政の課題
Avatar for 室木直樹 naokim84
2
1.3k
IaC を使いたくないけどポリシー管理をどうにかしたい
Avatar for kazzpapa3 kazzpapa3
1
210
.NET 10 のパフォーマンス改善
Avatar for neno nenonaninu
2
4.3k
一億総業務改善を支える社内AIエージェント基盤の要諦
Avatar for Yuku Kotani yukukotani
9
2.6k
Symfony AI in Action
Avatar for Christopher Hertel el_stoffel
2
340
ブラウザ拡張のセキュリティの話 / Browser Extension Security
Avatar for GMO Flatt Security flatt_security
0
240
Introduction to Sansan for Engineers / エンジニア向け会社紹介
Avatar for Sansan, Inc. sansan33
PRO
5
46k
Flutter Thread Merge - Flutter Tokyo #11
Avatar for JaiChangPark itsmedreamwalker
1
130
AIにおける自由の追求
Avatar for Shuji Sado shujisado
2
440
シンプルを極める。アンチパターンなDB設計の本質
Avatar for Facilo Inc. facilo_inc
1
930
Contract One Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
9.8k
mablでリグレッションテストをデイリー実行するまで #mablExperience
Avatar for 弁護士ドットコム bengo4com
0
460

Featured

See All Featured
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.8k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
186
22k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
37
7k
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
370
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
119
20k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
514
110k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.1k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
8
1.2k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
285
14k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
31
2.7k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.5k

Transcript

  1. WafCharm使ってみた 2024年8月28日 株式会社セゾンテクノロジー クラウドLT大会 vol.10 石丸 司 1

  2. 目次 1.自己紹介 2.課題設定 3.解決方法 4.設定してみた 5.使ってみた 6.良いところ 7.悪いところ 8.おわりに 2

  3. 1. 自己紹介 ▪氏名:石丸司(いしまるつかさ) ▪所属:セゾンテクノロジー ▪経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 :

    基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ▪最近の活動 Japan AWS Top Engineers選出を目指し、 資格取得、Qiita投稿・LT登壇などを実施中 @tsukasa_aws 3 @Tsukasa_Ishimaru

  4. 2. 課題設定 ・インターネットに公開されたWEBシステム基盤を構築していて、 AWS WAFは導入したけど、運用を設計しきれていない ・AWS WAFは導入しているけれど、セキュリティ専任チームもいなくて、 定期的な最新ルールの差し替え等の作業は、 正直放置している 4

    ここのお話

  5. 3. 解決方法 使用するサービス(AWS外部) ブロックルールの自動更新 ブラックリストへの自動登録 サポートによるトラブル発生時での、 原因特定やルール調整 5 https://www.wafcharm.com/jp/

  6. 3. 解決方法(続き) WafCharm導入後の構成イメージ 6 ①ログ出力 ②ログ連携 ③ルール更新

  7. 4. 設定してみた ①マーケットプレイスでWafCharmをサブスクライブ ②リンクからWafCharmのアカウント登録 ③Credential登録(WafCharm用IAMロール作成・登録) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 7 設定の流れ

  8. 4. 設定してみた(続き) ①マーケットプレイスでWafCharmをサブスクライブ 8 利用時間による従量課金 + アクセス数に応じた課金

  9. 4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録 9

  10. 4. 設定してみた(続き) ②リンクからWafCharmのアカウント登録(続き) 10

  11. 4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 11 json形式の信頼ポリシーが生成される

  12. 4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 12 ・AmazonS3ReadOnlyAccess ・AWSWAFFullAccess ・CloudWatchReadOnlyAccess WafCharm管理画面で生成した 信頼ポリシーをコピペ

  13. 4. 設定してみた(続き) ③Credential登録(WafCharm用IAMロール作成・登録) 13

  14. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 14

  15. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 15

  16. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 16

  17. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 17

  18. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 18

  19. 4. 設定してみた(続き) ④WAF Config登録(WafCharmをAWS WAFにアタッチ) 19

  20. 5. 使ってみた ①どれほど攻撃がきているのか確認 20

  21. 5. 使ってみた(続き) ②WAFログ確認 21

  22. 5. 使ってみた(続き) ②WAFログ確認 22

  23. 4. 使ってみた(続き) ③ブラックリストへの手動登録 23

  24. 4. 使ってみた(続き) ③ブラックリストへの手動登録 24

  25. 5. 使ってみた(続き) ③ブラックリストへの手動登録 25 登録前 登録後

  26. 5. 使ってみた(続き) ④月次レポート確認(レガシーver.) 26

  27. 6. 良いところ ・導入が簡単 30分程で完了 ・ルールの自動更新 AWS WAF:定期的に手動で更新が必要(適用するルールの選定も必要) ⇒誤検知等のトラブルが起きない限り、ほったらかしでOK ・WafCharm管理画面でWAFログの参照ができる AWS

    WAF:Athenaのクエリを事前に用意してログの検索・参照を行う ⇒管理画面でログの検索・参照ができる ・月次レポート お客様へのレポート提出が必要な場合、そのまま提出可能 27

  28. 7. 悪いところ 28 ・環境(AWSアカウント)毎にWafCharmの利用料を分割できない マーケットプレイス経由で購買した場合、WafCharmの利用料は、 サブスクリプションしたAWSアカウントに全額請求される。 →環境毎に分割するには、環境毎にWafCharmのアカウントが必要 ・設定時にエラーが発生した場合、エラーメッセージが何も表示されない CloudTrailの証跡を参照してユーザー名:wafcharmで絞り込んで確認する必要あり →・WAFログ格納先のS3バケットポリシーで権限制限

    ・WAFログ格納先のS3バケットをカスタムKMSで暗号化&権限制限 →S3バケットとKMSのリソースベースポリシーに、 WafCharm用IAMロールへの許可設定が必要だった

  29. 8. おわりに • WafCharmを導入して、WAFの運用作業から解放されましょう 29

  30. ご清聴ありがとうございました 30