こんにちは、技術3課の紅林です。社内のドラゴンクエスト部の活動が活発な昨今です。わたしが好きなドラクエの曲は「戦火を交えて」です。
今回、Alert Logic社の提供するサービスの中のWAFに該当するWeb Security Managerを使ってみましたので、サービス概要、導入の流れ等をご紹介します。
はじめに:Alert Logicとは
Alert Logic(以下、適宜AL)はAlert Logic社が提供するSecurity-as-a-Serviceソリューションです。
IDS/WAF/SIEMの提供が行われ、AWS環境のセキュリティの強化が可能です。
より詳細は情報はこちらより資料のダウンロードが可能となっておりますので、ご確認頂けたらと思います。
今回は、上記Alert Logicのサービスの中でもWAFのサービスに該当する「Web Security Manager」の構成手順をご紹介します。
Alert Logic Web Security Manager とは
Alert Logic Web Security Managerは、Alert Logic社が提供するSaaS型のWAFサービスです。シグネチャベースの検知と学習エンジンの組み合わせにより、Webアプリケーションへの攻撃を検知します。
Web Security Managerは、現在は攻撃の検知のみが可能となっており、防御の実施には別途対応が必要となります(例えば、AWS WAFとの連携等により該当IPアドレスを自動ブロックする、等)。
Web Security Managerは、Alert Logic提供サービスメニューの「Cloud Defender」における機能の一つとなります。Cloud Defenderには他に、IDS、SIEM、脆弱性診断のサービスが含まれます。Cloud Defenderを導入することにより、WAFに限らずAWS上での総合的なセキュリティ環境の構成が可能になります。
構成概要
構成概要のイメージは以下の通りとなります。
Webサーバに届いたトラフィックをALエージェントがAL仮想アプライアンスに転送し、攻撃の検知を行います。その後、AL仮想アプライアンスがイベント情報をALのデータセンタに送信します。
導入の流れ
導入の流れは以下の通りとなります(詳細な手順は割愛)。
1. AL仮想アプライアンスのローンチ
- AL仮想アプライアンスをAMIからローンチします。
- AL仮想アプライアンスにEIPを付与します。
- AL仮想アプライアンスClaim処理を行います。
2. Webサーバの構築
- Webサーバを構築します。
- WebサーバにALエージェントのインストールを行います。
ALポータル上で設定
- ALポータル上でWAFの設定を行います(※)。
※本作業はALの提供サービスに含まれるため、通常設定作業は不要となります
動作確認
上記の導入作業が完了すると、Webサーバへの攻撃の検知が可能となります。攻撃の検知状況はALのポータルで確認できます。
試しに、WebサーバにSQLインジェクションやNULLバイトインジェクションを行ってみた結果が以下の図です。きちんと検知できているのが分かります。
おわりに
今回、Alert Logicのサービスメニュー「Cloud Defender」の中のWeb Security Managerの概要をご紹介しました。次回以降、随時別の機能のご紹介もしていきたいと思います。