[re:Inventセッションレポート] Securing Web Applications with AWS WAF

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

■セッション情報
タイトル:Securing Web Applications with AWS WAF
トラック:SEC323
 
昨日発表されたAWS WAFのセッションです。
満席御礼です。
立ち見も多いせいか、それとも熱気のせいか少々室温が気持ち高く感じます。 

イントロ

・AWS WAFがなぜ必要か。
悪意あるアクセスからWebアプリケーションをきちんと守る!
 
・これまでのWAF
設定が複雑で遅い
ルールが多い
自動化のAPIがない
 
・AWSなら!
APIとコンソールがある
CloudFrontで接続
 
・Benefits
カンタン
自由にカスタム
開発と統合 
 

 

Demo

AWS WAFを実際に使ってみた と重複する部分が多いので、本記事では割愛します。
 
説明を聞いていて、少々気になったのは上限値です。
上限値は変更できるものとできないものがあります。
導入前は要件が満たせるか確認しましょう。
 
設定したルールは1分で変更されメトリクスに反映されます。はやい。 
 

開発と統合

API,SDK,CLIを利用し設定変更が容易にできます。
ChangeTokenを取得し、設定の更新リクエストをすることができます。

api
 
さらりとAWSらしい機能として紹介しましたが、このあたりがおそろしい機能ですね。
本日のKeynote風にいうならば自由に変化できるWAFです。
 

2つのタイプのポリシー

1. 静的ポリシー
2. 動的ポリシー
動的ポリシーは、例えば「カウントをしてIPブロックリストに追加」という運用が可能です。

 

UseCase

USECASE1:Automatic behavioral analysis (自動行動解析)
Rule updater が人間のかわりに確実な仕事をしてくれます。
automatic
 
ana
 
 
 
手にあまるときは、AWS WAF partnaes に協力をお願いできそうです。
partner
 
 
 
USECASE2:自動インシデントレポート 
インシデントレポートももちろん自動生成可能です。
これまでのWAFのようにあまり自由のきかない形式ではなく、自由なレポートを用意できます。
report
 

 

AWS WAF はシンプルなWAFという第一印象でしたが、自分で考えて動くWAFになれる可能性があることを理解しました。
新時代のペットのような扱いを受けている掃除機ルンバのように、愛情を注ぎたくなってきますね。

まだまだ可能性を秘めている AWS WAF からしばらく目をはなせそうにありません。

AWS運用自動化サービス「Cloud Automator」