AWS WAF を検討しているが、マネージドルールとしてどれを選べばよいか
2018/05/31, last updated 2022/08/03 - moriya - ~3 Minutes
AWS を使って WEB アプリケーションを提供しているお客様からセキュリティ対策について相談があったので、AWS WAF について調査した。
WAF とは、Web Application Firewall の略で、アプリケーションの前段に設置して、あやしげなアクセスをブロックするというコンセプトのものである。AWS のサービスとして用意されているものが、AWS WAFである。
しかし、自分で AWS WAF を設定するのは、かなり困難なように思える。したがって、
マネージドルール
というものを調べた。
これは、AWSによると「セキュリティ専門家により管理されるルール」ということである。
さて、そのページの下のほうに「Managed Rules セラー」があるが、どれを選べばよいのか判断に困らないだろうか。
使ってみたわけではないので、説明書きから読み取れる範囲でしかないが、防御している範囲毎に並べなおしてみた。
OWASP TOP 10(最も重大なウェブアプリケーションリスクトップ10)から保護
保護している範囲は、page.4 / page.6 が参考になろう。
- F5 Rules for AWS WAF – Web exploits OWASP Rules
- Fortinet Managed Rules for AWS WAF – General and Known Exploits
- Fortinet Managed Rules for AWS WAF – SQLi/XSS – SQLインジェクションと、クロスサイトスクリプティングに限定したルール
wordpress などの CMS システムを保護
- Alert Logic’s Managed Rules for AWS WAF Virtual Patches for WordPress
-
Trend Micro Managed Rules for AWS WAF – Content Management System (CMS)
- Trustwave Managed Rules for AWS WAF – CMS Virtual Patches
- Imperva’s Managed Rules for WordPress Protection
BOT からの攻撃を保護
BOT – 脆弱性(バグなど)を突いてシステムに侵入し、感染をどんどん広げていくタイプのソフト – からの攻撃を保護。
ネットワーク上でしらみつぶしに開いているポートを探し、そのポートにバグを誘発するようなデータを注入してシステムに自分自身のコピーを侵入させて増殖させるような特徴があるため、そういったあやしげな動きを検出してガードすると想像する。
OWASP TOP 10 + BOT からの保護
IP Reputation
あやしげなIPアドレスからのアクセスから保護
CVE に公開されているような一般的な脆弱性から保護
対応範囲不明確
- Trend Micro Managed Rules for AWS WAF – WebServer (Apache, Nginx) – “deep security” を使ってくれということか
- Trustwave Managed Rules for AWS WAF – ModSecurity Virtual Patching
予算によると思うが、OWASP TOP 10(例えば Fortinet) / OWASP TOP 10 + IP reputation / OWASP TOP 10 + BOT(例えば Fortinet の Complete OWASP Top 10 のほう) + IP reputation あたりの選択がよいのではないか。
開発者観点では、SQL injection やクロスサイトスクリプティング、CSRF は、WAF(こちらはWeb Application Frameworkの略)を使うので、起こりにくくなっているのではないかと思う。(コンセプトを理解して使っていればだが・・・)
WAF(Web Application Framework)+WAF(Web Application Firewall)、それと昔ながらの Firewall でガードしたいものだ。
それと、専門家に頼む場合は、無くならなさそうな会社に頼むように。以前、セキュリティの会社を閉じて、お客さんに迷惑をかけてしまった者からのアドバイスです。