202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用

© 2022, Amazon Web Services, Inc. or its Affiliates.
AWS 公式 Webinar
https://amzn.to/JPWebinar
過去資料
https://amzn.to/JPArchive
岡豊
Solutions Architect, Edge Services
2022/03
AWS Managed Rules for AWS WAF の活⽤
AWS Black Belt Online Seminar

AWS Black Belt Online Seminarとは
• 「サービス別」「ソリューション別」「業種別」のそれぞれの
テーマに分け、アマゾンウェブサービスジャパン合同会社が
主催するオンラインセミナーシリーズです
• AWSの技術担当者が、AWSの各サービスについてテーマごとに
動画を公開します
• お好きな時間、お好きな場所でご受講いただける
オンデマンド形式です
• 動画を⼀時停⽌・スキップすることで、興味がある分野・項⽬だけの
聴講も可能、スキマ時間の学習にもお役⽴ていただけます
2

内容についての注意点
• 本資料では 2022年3⽉時点のサービス内容および価格についてご説明しています。
最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。
• 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に
相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。
• 価格は税抜表記となっています。
⽇本居住者のお客様には別途消費税をご請求させていただきます。
• AWS does not offer binding price quotes. AWS pricing is publicly available and is
subject to change in accordance with the AWS Customer Agreement available at
http://aws.amazon.com/agreement/. Any pricing information included in this
document is provided only as an estimate of usage charges for AWS services based
on certain information that you have provided. Monthly charges will be based on your
actual use of AWS services, and may vary from the estimates provided.
3

⾃⼰紹介
4
• 岡豊（おかゆたか）
• 所属︓Edge サービス担当ソリューションアーキテクト
• 担当サービス︓
• Amazon CloudFront
• AWS Global Accelerator
• AWS WAF
• AWS Shield Advanced
• AWS Firewall Manager

本セミナーの対象者
• WAF の⼀般的な知識をお持ちの⽅で、これから AWS Managed
Rules for AWS WAF をご利⽤予定の⽅
• AWS Managed Rules for AWS WAF を既にご利⽤の⽅で、設定⽅法
について更に理解を深めたい⽅
5

アジェンダ
1. AWS Managed Rules for AWS WAF の概要
2. マネージドルールの活⽤に役⽴つ新しい機能
3. 導⼊ステップとチューニング
4. まとめ
6

© 2022, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAF の構成
Web ACL (Web Access Control List)
· · · Rule Statements · · ·
IP Set Rule Group Regex Set
Sampled
Request
AWS WAF
Amazon
CloudWatch
Amazon
CloudFront
Application
Load Balancer
Amazon API
Gateway
Kinesis Firehose
Request
Logging Metrics
AWS
AppSync
Amazon S3 CloudWatch
Logs

AWS Managed Rules for AWS WAF とは
お客様のアプリケーションに利⽤可能
な事前に構成済みのルールセット
• 様々な脅威や⾼リスクな脆弱性に対
する攻撃⼿法などに幅広く対応
• 脅威リサーチチームによる作成及び
メンテナンスを実施
• ボット対策や不正なログイン試⾏の
対策のルールも提供
⼀部のルールを除き、追加費⽤無しで
利⽤可能
8

AWS WAF に導⼊可能なルールの種類
9
マネージドルール独⾃のカスタムルール
• AWS が提供するマネージドルー
ル (AWS Managed Rules for
AWS WAF)
• パートナー提供のマネージドルー
ル
• お客様が独⾃に作成可能なルー
ル
• マネージドルールと組み合わせ
てカスタムルールを作成するこ
とが可能

AWS Managed Rules for AWS WAF の概要

AWS Managed Rules for AWS WAF の種類
• ベースラインルールグループ
• ユースケース別のルールグループ
• IP レピュテーションルールグループ
• Bot Control ルールグループ
• Account Takeover Prevention ルールグループ
11

ベースラインルールグループ
• 様々な既知の脅威に対する⼀般的な対策ルールを提供
• これらのルールグループのうち1つ以上を選択して、対象のアプリケー
ションを保護する為のベースラインとなるルールを設定
12
Ruleset Description
Core rule set (CRS) OWASP Top 10 の脅威に基づく、⼀般的なウェブアプリケーションに適⽤可能な防御ルール
Admin protection 公開されている管理ページへの外部アクセスをブロックするためのルール
Known bad inputs
無効であることがわかっており、脆弱性の悪⽤または探索に関連するリクエストパターンをブロックする
ルール
Free rule groups

ユースケース別ルールグループ
• AWSWAF を利⽤する様々なユースケースに合わせた追加の保護対策
を提供
• 保護対象のオペレーティングシステムやミドルウェア、アプリケー
ションによって、適切なルールを選択
13
Free rule groups
Ruleset Description
SQL database
SQL インジェクション攻撃など、SQL データベースの悪⽤に関連するリクエストパターンをブロッ
クするルール
Linux operating
system
Linux 固有のローカルファイルインクルージョン (LFI) 攻撃など、Linux 固有の脆弱性の悪⽤に関連
するリクエストパターンをブロックするルール
PHP application
安全でない PHP 関数のインジェクションなど、PHP に固有の脆弱性の悪⽤に関連するリクエストパ
ターンをブロックするルール
WordPress application WordPress サイト特有の脆弱性の悪⽤に関連するリクエストパターンをブロックするルール
POSIX operating
system
POSIX および POSIX と同等のオペレーティングシステムに固有の脆弱性の悪⽤ (ローカルファイル
インクルージョン (LFI) 攻撃など) に関連するリクエストパターンをブロックするルール
Windows operating
system
PowerShell コマンドのリモート実⾏など、Windows 固有の脆弱性の悪⽤に関連するリクエストパ
ターンをブロックするルール

IP レピュテーションルールグループ
• アプリケーションのアクセス元のソース IP アドレスに基づいてリク
エストをブロック
• 不正なボットトラフィックや攻撃に利⽤されている IP アドレスから
のアクセスを制限したい場合や、アクセス元の隠蔽を試みるアクセス
からの制限が可能
14
Free rule groups
Ruleset Description
Amazon IP
reputation list
ボットやその他の脅威に関連づけられている IP アドレスをブロックする、Amazon 内部の脅威イン
テリジェンスに基づくルール
Anonymous IP list
VPN、プロキシ、Tor ノード、ホスティングプロバイダーなどのビューワーIDの難読化を許可する
サービスからのリクエストをブロックするルール

Bot Control ルールグループ
ボットと判断されるトラフィックを検知し、それに基づいたアクション
を⾏う
• ボットに特化したマネージドルールを提供
• リクエストによってボットの種別を表すラベルを追加
• ラベル内にボットの種類と特徴（シグナル）を表す情報を付加
AWS WAFを利⽤する全てのユーザーは、Bot Control のルールグループ
を有効にせずとも、⼀定の可視性が得られる
• Bot Control ルールグループを利⽤した場合の効果を事前に取得し、
利⽤の可否を決めることができる
15
Paid rule groups
https://aws.amazon.com/waf/features/bot-control/

Account Takeover Prevention ルールグループ
ログインページに対する不正なアクセスから保護するためのルールグ
ループ
• 盗まれた認証情報を利⽤したログイン試⾏を可視化及び制御
• クレデンシャルスタッフィング攻撃
• ブルートフォース攻撃
• その他の異常なログイン試⾏
• POST されたデータを盗まれたクレデンシャルのデータベースと照合
• アプリケーション統合 SDK の利⽤で検知能⼒を向上（オプション）
• JavaScript、iOS/Android SDK
16
Paid rule groups
https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html

マネージドルールの活⽤に役⽴つ新しい機能

マネージドルールの利⽤に役⽴つ新しい機能
• スコープダウンステートメント
• ラベル
• カスタムレスポンス
• カスタムリクエストヘッダー
• バージョニングと通知
18

スコープダウンステートメント
ルールグループの適⽤範囲を限定
する機能を提供
• 特定のリクエストパターンのみ
ルールグループを適⽤する場合、
または除外する場合に活⽤出来
る機能
• 全てのマネージドルールグルー
プで利⽤可能
19

スコープダウンステートメントの使⽤例
• Bot Control によって評価したいリクエストパターンを特定し、ルー
ルを適⽤する
• ボットの影響を受けないトラフィック（画像など）は評価しない
• Bot Control のコストは評価対象のリクエストのみ
20
AWS WAF
Amazon
CloudFront
Bot Control

ラベル
リクエストに対して追加されるメタデータ
• ラベルの値によってルールを実⾏させることが可能
• アクションに依存せず設定することが可能
• CloudWatch メトリクスやログに追加される
21
Bad Bot
Suspicious
No
Header
No User-
Agent

ラベルの使⽤例
マネージドルールのラベル機能を
使ったレートベースルールの設定
• レートベースルールに条件とし
て指定したいマネージドルール
を Count に設定
• 該当のラベルが付加されたリク
エストを後続のレートベース
ルールでブロック
22
Anonymous IP のラベルが付与されたリクエスト
が５分間に100 リクエストを超えたらブロック
上限 100 リクエスト
Labelに⼀致するリクエスト

カスタムレスポンス
WAF ルールによってブロックさ
れた際にカスタムレスポンスを返却
以下のカスタマイズが可能:
• Response code
• Headers in the response
• Response body
マネージドルールで利⽤する場合は
ラベル機能を利⽤
23

カスタムレスポンスの使⽤例
使って、特定のマネージドルール
のアクションをカスタマイズ
24
IP ReputationList のラベルが付与
されたリクエストは、特定のページ
へリダイレクト
Labelに⼀致するリクエスト
HTTP リダイレクトを設定

カスタムリクエストヘッダー
WAF ルールによって Allow /
Count された際に任意のリクエス
トヘッダーを挿⼊
• “x-amzn-waf-” の prefix が付
与される
• 既存のリクエストヘッダーの変
更は不可
25

カスタムリクエストヘッダーの使⽤例
26
使って、特定のマネージドルール
に合致するリクエストにカスタム
ヘッダーを挿⼊ Labelに⼀致するリクエスト
カスタムヘッダーを設定
AnonymousIPList のラベルが付与
されたリクエストは、カスタムヘッ
ダーを挿⼊（アプリケーション側
でヘッダーによって動作を変える場
合などに利⽤できる）

マネージドルールの⾃動更新の制御
• マネージドルールグループで特定のバージョンに設定し、⾃動更新さ
せないようにすることが可能
• テスト環境等で新しいルールの評価後にルールを更新したり、以前の
バージョンにロールバックすることが可能
• デフォルトでは、マネージドルールグループ内のルールが⾃動更新される
• Amazon Simple Notification Service (Amazon SNS) を通じて、
ルールの更新を事前に受信することが可能
27

バージョンの期限切れアラートの設定
• バージョンを指定する運⽤にした場合に、バージョンの有効期限に近
づいた時に通知を送信するように設定
• CloudWatch の DaysToExpiry メトリクスでモニタリング可能
• バージョンの有効期限が切れると、マネージドルールグループは⾃動
的に最新のデフォルトバージョンに切り替わる
• 重要な更新の⾒落とし防⽌に役⽴つ
28

導⼊ステップとチューニング

最初はルールアクションを Count にしてモニタリングを実施。検知率や
誤検知の有無を確認後、ルールアクションを Block へ変更する
導⼊ステップ
30
• CloudWatchメトリクスでルールを評価
• 誤検知が発⽣しないかサンプルレポートやログを確認
• レートベースのルールの閾値を調整
• 誤検知がないことを確認後、Block へ変更
• ルール毎に段階的に Block モードへ変更することも可能
• サンプルリクエストレポートで確認
• ブロックされたリクエストをログから解析
Block
Count

• Web ACL 内のルールの優先度の順に
リクエストの検査が実⾏される
• ルール内のステートメントでリクエ
ストを検査するための条件を定義、
アクションによって条件に⼀致した
リクエストの処理が実⾏される
• どのルールにも⼀致しない場合、デ
フォルト Web ACL Action が実⾏さ
れる
Web ACL のルールの評価の流れ
31
Web ACL
Priority
・
・
・
Default Web ACL Action
Rule
Action
Statement
Statement
Rule
Action
Rate-based rule
Statement
…

もし正規のリクエストがマネージドルールグループで検知される場合、またリクエストのパターン
によって⼀部のルールを適⽤したく無い場合、複数の⽅法で特定の条件のリクエストを除外すること
が可能
マネージドルールグループから特定の条件のリクエストを除外
32
除外パターン１
Web ACL
RuleGroup A
Sub Rule
Sub Rule
Sub Rule
…
RuleGroup B
Sub Rule
Sub Rule
Sub Rule
…
ルールグループ
単位で除外
利⽤ケース例:
特定のアプリ
ケーションパス
については、
から除外
除外パターン２
Web ACL
RuleGroup A
Sub Rule
Sub Rule
Sub Rule
…
RuleGroup B
Sub Rule
Sub Rule
Sub Rule
…
Custom Rule
のサブルール単
位で除外
利⽤ケース例:
誤検知対応とし
て、特定のリク
エストパターン
のみ⼀部のサブ
ルールから除外
Web ACL
RuleGroup B
Sub Rule
Sub Rule
Sub Rule
…
Custom Rule
除外パターン３
カスタムルール
以下のルール全
て除外
利⽤ケース例:
特定のソースIPア
ドレスからのリ
クエストの場合、
⼀部もしくは全
てのルールグ
ループから除外
RuleGroup A
Sub Rule
Sub Rule
…
Sub Rule

を利⽤
• “doesnʼt match the
statement (NOT)” を選択し、
除外したい条件を指定
• AND を使って、複数の除外パ
ターンを定義することが可能
1. ルールグループ単位で特定のリクエスト条件を除外
33
AWS-AWSManagedRulesPHPRuleSet か
ら特定の URI パターンを除外

サブルールを Count に設定
ルールのラベルを利⽤
• 対象のサブルールを Count に設定
し、そのラベルが付加されたリクエ
ストを後続のカスタムルールで除外
条件を指定してブロック
2. ルールグループのサブルール単位で特定リクエスト条件を除外
34
特定のパスパターンを除外
AWS-AWSManagedRulesSQLiRuleSet の
SQLi_QueryArgumentsのラベルが付与されたリクエスト
Action を Block に設定

優先度の⾼い除外⽤カスタムルール
を利⽤
• 除外条件を指定したカスタムルー
ルを作成し、Actionを Allowにす
る。それを除外したいルールグ
ループよりも⾼い優先度に設定す
る
3. カスタムルール以下のルールグループ全体から特定リクエスト
を除外
35
カスタムルールを作成
許可するIPアドレスのリストを指定
Action を Allow に設定

Block への切り替え後、モニタリングを継続して実施
• CloudWatchメトリクスによるアラーム通知
• 異常を速やかに把握
• Athena や CloudWatch Log insights を利⽤したログ解析
• ブロックされたトラフィックを定期的に確認
• 誤検知が疑われる場合、ログからリクエストのパターンを特定
• マネージドルールの更新通知を設定し、更新状況を把握
• ⾃動更新にしない場合はバージョンの期限切れアラートを設定
導⼊後の運⽤
36

• AWS Managed Rules for AWS WAF は様々な事前構成済みのルール
セットの中から直ぐに導⼊可能なマネージドルール
• ラベルの機能により、マネージドルールにカスタムレスポンスやカスタ
ムヘッダー、レートベースルールを組み合わせて利⽤することが可能
• マネージドルールのバージョンの指定により、任意のタイミングでルー
ルの更新が可能
• バージョンの期限切れアラートを設定することにより、重要な更新の⾒
落としを防⽌
• スコープダウンステートメントやラベルを活⽤することによって、特定
のリクエスト条件の除外設定が柔軟に対応可能
まとめ
37

本資料に関するお問い合わせ・ご感想
• 技術的な内容に関しましては、有料のAWSサポート窓⼝へ
お問い合わせください
• https://aws.amazon.com/jp/premiumsupport/
• 料⾦⾯でのお問い合わせに関しましては、カスタマーサポート窓⼝へ
お問い合わせください（マネジメントコンソールへのログインが必要です）
• https://console.aws.amazon.com/support/home#/case/create?issueTy
pe=customer-service
• 具体的な案件に対する構成相談は、後述する個別技術相談会をご活⽤ください
38
ご感想はTwitterへ︕ハッシュタグは以下をご利⽤ください
#awsblackbelt

AWSの⽇本語資料の場所「AWS 資料」で検索
39
https://amzn.to/JPArchive

AWSのハンズオン資料の場所「AWS ハンズオン」で検索
40
https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-hands-on/

AWS 個別相談会
o 毎週「AWS 個別相談会」を実施中
o AWSのソリューションアーキテクト（SA）に
対策などを相談することも可能
o 申込みは下記のURLから
o https://pages.awscloud.com/JAPAN-event-SP-Weekly-
Sales-Consulting-Seminar-2021-reg-event.html
41
で[検索]
AWS 個別相談会

ご視聴ありがとうございました
42

202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用

Recommended

More Related Content

What's hot (20)

Similar to 202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用 (20)

More from Amazon Web Services Japan (20)

202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用