アジェンダ AWS WAF General Overview 位置付け Technical Deep Dive

Size: px

Start display at page:

Download "アジェンダ AWS WAF General Overview 位置付け Technical Deep Dive"

ゆずさこやぎ
6 years ago
Views:

1 AWS WAF 2015/12/09 AWS Black Belt Tech Webinar 2015 アマゾンウェブサービスジャパン株式会社荒靖宏

2 アジェンダ AWS WAF General Overview 位置付け Technical Deep Dive

3 AWS WAF (Web Application Firewall)

4 Why AWS WAF? アプリ脆弱性 Good users Web server Database Bad guys Exploit code

5 Why AWS WAF? Abuse Good users Web server Database Bad guys

6 Why AWS WAF? Application DDoS Good users Web server Database Bad guys

7 What is AWS WAF? Application DDoS Good users Web server Database Bad guys AWS WAF

8 What is AWS WAF? Application DDoS AWS WAF rules: 1: BLOCK from 悪者. 2: ALLOW from not 悪者. Good users Web server Database Bad guys AWS WAF

9 What is AWS WAF? Application DDoS Good users Web server Database Bad guys AWS WAF

10 WAF とは? Web Application Firewall (WAF) は HTTP トラフィックをフィルタなどの制御をするためのアプライアンスやサーバプラグインなどのルールセットのこと WAF は以下 4 つで提供されることが多い Pure Play: スタンドアローンのアプライアンスやソフトウェア CDN: Content Delivery Network へのバンドル Load Balancer: ロードバランサへのバンドル Universal Threat Manager (UTM): 統合セキュリティ管理 (UTM) の部として提供

11 なぜ WAF を使うのか WAF は Web サイトやアプリケーションが攻撃されてダウンしたりデータが流出したりすることがないように助けをする WAF の般的なユースケース SQL Injection (SQLi) Cross Site Scripting (XSS) 対策 Web クローラスクレイピング等の BOT 対策 DDoS 緩和 (HTTP/HTTPS floods) ガートナーのレポートによると導理由の 25-30% は PCI- DSS 対応のため Magic_Quadrant_for_Web_Application_Firewalls.pdf による

12 AWS WAF カスタムルールによるフィルタ SQL インジェクション XSS などのよくある攻撃への対策モニタリング

13 これまでの WAF 設定は複雑で時間がかかる

14 これまでの WAF ルールが増えるにつれ誤検知 (False positive) に悩むことになる

15 これまでの WAF No API

16 これまでの WAF 導と維持コストがすぎるプロフェッショナルサービスが必要になる積もりが過になりがち

17 お客様の要望に応じて AWS が実現した WAF 実践的なセキュリティモデルを簡単に導フレキシブルにルールをカスタマイズできる DevOps との統合それらを AWS の使っただけの払い

18 AWS WAF と Marketplace の併について AWS WAF Amazon CloudFront との併クラウドベースの防御セルフサービス簡単なデプロイ使った分だけのお払いオートスケール DevOps と相性がいい Do it yourself Marketplace WAFs EC2 インスタンス上で動作マネージドサービス BYOL 1 時間単位など様々スケールさせるには別途設定変更点特別作業等必要

19 CloudFront without WAF CloudFront users legitimate traffic Edge Location AND/ OR hackers SQL Injection, XSS, other attacks S3 ELB Customer On Premises Environment EC2 bad bots site scraping Origin Server Origin Storage 悪意をもったトラフィックを含めて HTTP/HTTPS であれば通る

20 これまでの WAF 配置 WAF on EC2 は ELB でサンドイッチする結果複雑になりレイテンシも上昇する ELB Sandwich CloudFront users legitimate traffic Edge Location ELB WAF ELB EC2 hackers bad bots SQL Injection, XSS, other attacks site scraping Customer On Premises Environment WAF Origin Origin Storage

CloudFront with AWS WAF CloudFront users hackers

attacks Edge Location WAF S3 AND/ OR ELB Customer

21 CloudFront with AWS WAF CloudFront users hackers legitimate traffic SQL Injection, XSS, other attacks Edge Location WAF S3 AND/ OR ELB Customer On Premises Environment EC2 bad bots site scraping Origin Server Origin Storage 不正なトラフィックはエッジロケーションにある WAF でブロック AWS 外のリソースでも OK 動的なコンテンツでも静的なコンテンツでも OK

22 AWS WAF Components 1. Web Access Control Lists (WebACL) 2. 条件 IP アドレス / 字列 / SQL インジェクション 3. ルール - 順位 / アクション 4. AWS リソース ( 現状では CloudFront) 5. レポート ( リアルタイムのメトリクスとサンプリングされたリクエスト )

23 AWS WAF: WebACL WebACLs は condition, rules, action で構成 WebACLs はつあるいは複数の CloudFront distribution に適 WebACLs はリアルタイムのメトリクスとサンプリングされたリクエストをルールごとに表

24 AWS WAF: Conditions Conditions は web リクエストを判定するコンポーネント Conditions では致判定をう IP アドレス i.e., /8, /16, /24, /32 字列, i.e., URI, クエリ字列, ヘッダ, etc. SQL インジェクション, i.e., looks for invalid SQL statements Conditions は論理的に分離されている (OR)

25 Match conditions: IPSets CIDR はオクテット毎の設定 : /8 Matches 192.*.*.* / / /32 IPアドレスべた指定は /32を使う制限について l IPSetあたり1,000 CIDRまで l webaclあたり CIDRはトータルで10,000まで

26 Match conditions: Strings and bytes Web リクエストの内容と照合する RAW request headers Host: User-Agent: Mozilla/5.0 (Macintosh; Accept: image/png,image/*;q=0.8,*/ *;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Referrer: Connection: keep-alive Good users AWS WAF Rule String match condition Check: Header Referrer Match Type: Contains Match: example.com Action: ALLOW CloudFront

27 Match conditions: Strings and bytes RAW request headers Host: User-Agent: badbot Accept: image/png,image/*;q=0.8,*/ *;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Referrer: Connection: keep-alive Scraper bot AWS WAF Rule String match condition Check: Header User- Agent Match Type: Contains Match: badbot Action: BLOCK CloudFront

28 Match conditions: Strings and bytes transforms をつかってちょっとした変更には対応可能 RAW request headers Host: User-Agent: badbot Accept: image/png,image/*;q=0.8,*/ *;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Referrer: Connection: keep-alive AWS WAF Rule String match condition Check: Header User- Agent Transform: To lower Match Type: Contains Match: badbot Action: BLOCK Scraper bot CloudFront

29 Match conditions: Strings and bytes 条件 1. Contains 2. Exact 3. Begins with 4. Ends with 5. Contains word Transformation 1. Convert to lowercase 2. HTML decode 3. 空除去 4. Simplify command line 5. URL decode

Match conditions: Strings and bytes 悪意のあるバイナリの発には Base64 エンコードが使える 8950 4e47 0d0a 1a0a 0000 000d bad.

30 Match conditions: Strings and bytes 悪意のあるバイナリの発には Base64 エンコードが使える e47 0d0a 1a0a d bad.bin $> base64 bad.bin ivborw0kggoaaaan ivborw0kggoaaaan 1. Select binary file 2. Base64 encode 3. Set match criteria

31 Match conditions: SQL インジェクション query strings を URL decode 後にチェックする SQLi については AWS WAF が定義しているコードのみ

32 Match conditions: SQL インジェクションクエリ文字列のチェックには URL decode /login?x=test%27%20union%20all%20select%20null%20-- URL decode /login?x=testʼ UNION ALL select NULL --

33 AWS WAF: Rules ルールはあらかじめ決められた condition とアクションのセット利可能なアクション Block Allow Count ルールは論理的には結合している (AND) ルールは複数の WebACLs と適される

34 Reuse conditions CloudFront distributions web ACL の再利イメージ Web ACL #1 Shared blacklist Web ACL #2

35 AWS WAF: Resource WebACLs は CloudFront distributions に適されるルールは再利できる : ひとつの WebACL を全ての distributions に使えるフレキシブル : WebACL を distribution に個別にセットできる

36 AWS WAF: Reporting and Logs Real-Time Metrics (CloudWatch): ブロック許可カウントのみ分析のためのルールはすぐに適される時間区切りはグラフをスライドさせて指定できる WAF のログは CloudFront と統合

37 AWS WAF: Request Process CF は WAF の対象かどうかを判定 WAF はリクエストをレビューし CF に対して allow/deny を伝えるエラーページが CloudFront から戻される CloudFront 経由でコンテンツ配送 HTTP/HTTPS のリクエストが CloudFront に発せられる WAF はメトリクスを Cloudwatch に送る利者はルールをいつでも変更可

38 費について間の費例テスト (1 rule): $6 Small site (6 rules, 58M views): $46 Medium site (6 rules, 260M views): $167

39 AWS WAF の利戦略

40 ルール戦略ネガティブ多くの本番はこちら ALLOW by default BLOCK known-bad threats ポジティブ制限実時が多い BLOCK by default ALLOW known-good Examples BLOCK マルウェア配布 IP レンジ BLOCK {;} Examples ALLOW オフィスの IP レンジ ALLOW referrer header example.com

41 緩和戦略 Static policies よく知られた法の脅威むけ Reactive policies 法が変化する脅威向け AWS WAF パートナーによるルールの更新も

42 カウント機能を使った脅威発 Count mode Alert on Amazon CloudWatch metrics Get sampled requests Add bad IPs to BlackList

43 これらをあわせた典型的な使い Ruleの順番に注意! 1. WhiteListed IPs ALLOW 2. BlackListed IPs BLOCK 3. BlackListedSignatures BLOCK 4. SQLInjection COUNT 5. SuspiciousActivity - COUNT Default: ALLOW

44 レポート動化の流れ 1. Alarm on count 2. Send Amazon SNS notification 4. Format sampled requests 6. Send notification CloudWatch SNS AWS Lambda SNS Alarm Topic 5. Get sampled requests Topic Operator AWS WAF

45 AWS WAF ウォークスルー

46 AWS WAF: End to End Flow 1) WebACLの作成 2) Conditions (IP, string match, SQL) 作成 3) RulesとActions (order, rule, action) 作成 4) WebACLをCloudFrontに適 5) レビュー

47 AWS WAF: Update WAF resources via API トークンベースで処理 : 変更トークン取得 : WAF リソースを変更するための回限りのトークンを取得変更のためにトークン使ステータス確認のためにトークン使 : INSYNC は変更中であることをす

48 GetChangeToken $ aws waf get-change-token { } "ChangeToken :"d4c4f53b-9c7e-47ce ee5765d6bff"

49 Create* $ aws waf create-web-acl --name Test --metric-name Test --default-action Type=ALLOW --change-token d4c4f53b-9c7e-47ce ee5765d6bff

50 GetChangeTokenStatus $ aws waf get-change-token-status --change-token d4c4f53b-9c7e-47ce ee5765d6bff { "ChangeTokenStatus":{ ChangeToken":"d4c4f53b-9c7e-47ce ee5765d6bff ", Status : "PROVISIONED", OR "PENDING", OR "INSYNC" ] }, }

51 Update*Set $ aws waf update-ip-set --ip-set-id --change-token d4c4f53b-9c7e-47ce ee5765d6bff --updates [ }, ] {"Action": "INSERT", "IPSetDescriptor": {"Type": "IPV4", "Value": " /16"} {"Action": "INSERT", "IPSetDescriptor": {"Type": "IPV4", "Value": " /24"} }

52 GetSampledRequests GetSampledRequests は指定された時間内 ( 最 3 時間前まで ) にわれた最 500 リクエストをサンプリングした情報を得るのにつかう { "MaxItems": number, "RuleId": "string", "TimeWindow": { "EndTime": number, "StartTime": number }, "WebAclId": "string" }

53 WAF Example: A Technical Implementation 悪いボットを動的に退治する

54 WAF Example: Blocking Bad Bots 必要なもの IPSet: ブロックするIPアドレスリスト Rule: IPSetにマッチしたらブロックする WebACL: デフォルトではリクエストは許可 Ruleに含まれる加えて必要なのは悪いボットを検出する法悪いボットのIPアドレスをIPSetに追加する法

55 WAF Example: 悪いボットの検出 robots.txt にスクレイプ禁条項を書いておくスクレイプ禁コンテンツへのリンクを隠しリンクとして書いておく $ cat webroot/robots.txt User-agent: * Disallow: /honeypot/ <a href="/honeypot/" class="hidden" ariahidden="true">click me</a>

56 WAF Example: 悪いボットのブラックリスト悪いボット (robots.txt を無視するもの ) は隠しリンクをリクエストするトリガスクリプトがソース IP アドレスを検出トークンを変更ソース IP アドレスを IPSet のブラックリストに追加 WebACL は続くリクエストをブロック $ aws --endpoint-url carrot.amazon.com/ carrot get-change-token { "ChangeToken": "acbc53f2-46db-4fbd-b8d5- dfb8c466927f } $ aws --endpoint-url carrot.amazon.com/ carrot update-ip-set -- cli-input-json '{ "IPSetId": <<IP SET ID>>", "ChangeToken": "acbc53f2-46db-4fbd-b8d5- dfb8c466927f", "Updates": [ { "Action": "INSERT", "IPSetDescriptor": { "Type": "IPV4", "Value": <<SOURCE IP>>/32" } } ] } { "ChangeToken": "acbc53f2-46db-4fbd-b8d5- dfb8c466927f }

57 Q&A 次回 Webinar のお申し込み

58 AWS Black Belt Tech Webinar 2015 今後の配信 12 は新サービス紹介間 12/16 Amazon EC2 スポットインスタンス & Auto Scaling 12/22 AWS Black Belt 年の瀬座談会 ( 曜開催です ) お申し込みサイト

59 Webinar 資料の配置場所 AWS クラウドサービス活資料集

60 公式 Twitter/Facebook AWS 検索もしくは最新技術情報イベント情報お役ち情報お得なキャンペーン情報などを々更新しています!

61 ご参加ありがとうございました

PowerPoint Presentation

PowerPoint Presentation アプリケーションのセキュリティ向上のための Edge Service の戦略とベストプラクティス Prasad Kalyanaraman, VP Edge Services June 2016 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. このセッションの目的なぜセキュリティが重要かセキュリティの