• Home

  • Technology

  • JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話
18
あなたのそのWebアプリ 守られてますか? ~AWSでWAF使って(構築して)みた~

JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

Embed Size (px)

Citation preview

Page 1: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

あなたのそのWebアプリ 守られてますか?~AWSでWAF使って(構築して)みた~

Page 2: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

• まてつです。

• しゃべりが下手で、司会はずされました。。

• Twitterでは自由に話すことを許されました。

• 本当はECSで何かしたかった。

• 今日の会は電気通信大学ベンチャー支援部門の共催です!!!

Page 3: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

内容

•AWS上で動作するWAFImperva SecureSphereを触ってみた

Page 4: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

SecureSphereについて• http://blog.serverworks.co.jp/tech/2015/04/28/imperva_1/ を参照※回し者ではありません

http://blog.serverworks.co.jp/tech/2015/04/28/imperva_1/
Page 5: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

WAFって?

• Web Application Firewall

• アプリケーションレベルの不正なアクセスを防ぐためのHWやSW

Page 6: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

構成• 外向けELB

• NAT ※これ重要

• MX (管理サーバ)

• 内部ELB

• Webサーバ(群) 既存のアプリケーションが動いているもの

Page 7: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

イメージ

Page 8: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

準備 その1• VPC周りの設定

• SubnetやらRoute Tableやら

• SecurityGroupはNAT用、内外ELB用、Webサーバ用があればいい

• MX/Gateway用はCloudFormationで作成される

• NATインスタンス

• MXをPrivate Subnetに置く場合は最初に作成

• こいつがないと始まらない

Page 9: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

準備 その2• MarketPlaceでSecureSphereのAMIを起動できるようにしておく

• 今回はOnDemandなMXとGateway

• CloudFormationのテンプレートを取得しておく

• テンプレートをカスタマイズするとサポート対象外になる(らしい)

Page 10: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

MXを作るaws cloudformation create-stack --stack-name imperva-mx \ --template-url https://s3-ap-northeast-1.amazonaws.com/[BUCKET_NAME]/[TemplateName] \ --parameters ParameterKey=AvailabilityZone,ParameterValue=ap-northeast-1c,UsePreviousValue=false \ ParameterKey=DNSDomain,ParameterValue=default,UsePreviousValue=false \ ParameterKey=DNSServers,ParameterValue=default,UsePreviousValue=false \ ParameterKey=InstanceType,ParameterValue=m3.xlarge,UsePreviousValue=false \ ParameterKey=KeyPairName,ParameterValue=[KEY_PAIR_NAME],UsePreviousValue=false \ ParameterKey=ManagementSubnet,ParameterValue=[MX_SUBNET_ID],UsePreviousValue=false \ ParameterKey=NewUserName,ParameterValue=[MX_LINUX_USER_NAME],UsePreviousValue=false \ ParameterKey=NTPServers,ParameterValue=default,UsePreviousValue=false \ ParameterKey=PrivateIPAddress,ParameterValue=[MX_IP_ADDRESS],UsePreviousValue=false \ ParameterKey=SecurePassword,ParameterValue=[SECURE_PASSWORD],UsePreviousValue=false \ ParameterKey=SecurePasswordReType,ParameterValue=[SECURE_PASSWORD],UsePreviousValue=false \ ParameterKey=SystemPassword,ParameterValue=[SYSTEM_PASSWORD],UsePreviousValue=false \ ParameterKey=SystemPasswordReType,ParameterValue=[SYSTEM_PASSWORD],UsePreviousValue=false \ ParameterKey=Timezone,ParameterValue=Asia/Tokyo,UsePreviousValue=false \ ParameterKey=VpcId,ParameterValue=[VPC_ID],UsePreviousValue=false \ --capabilities CAPABILITY_IAM --profile [PROFILE_NAME]

Page 11: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

MXにログイン

• https://[MX_IP_ADDR]:8083/にアクセスして表示言語とアカウント設定を行う

• BYOLの場合はここでライセンス登録も行う

Page 12: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

Gatewayを作るaws cloudformation create-stack --stack-name imperva-gateway \ --template-url https://s3-ap-northeast-1.amazonaws.com/[BUCKET_NAME]/[TEMPLATE_NAME] \ --parameters ParameterKey=AvailabilityZones,ParameterValue=ap-northeast-1a\\,ap-northeast-1c,UsePreviousValue=false \ ParameterKey=AwsAccessKey,ParameterValue=[IMPERVA_USER_ACCESS_KEY],UsePreviousValue=false \ ParameterKey=AwsSecretKey,ParameterValue=[IMPERVA_USER_SECRET_KEY],UsePreviousValue=false \ ParameterKey=DataSubnets,ParameterValue=[GATEWAY_SUBNET_1A]\\,[GATEWAY_SUBNET_1C],UsePreviousValue=false \ ParameterKey=DNSDomain,ParameterValue=default,UsePreviousValue=false \ ParameterKey=DNSServers,ParameterValue=default,UsePreviousValue=false \ ParameterKey=ELBNames,ParameterValue=[EXT_ELB_1]\\ ,[EXT_ELB_2]...,UsePreviousValue=false \ ParameterKey=GatewayGroup,ParameterValue=[GATEWAY_GROUP_NAME],UsePreviousValue=false \ ParameterKey=ImpervaPassword,ParameterValue=[IMPERVA_PASSWORD],UsePreviousValue=false \ ParameterKey=ImpervaPasswordReType,ParameterValue=[IMPERVA_PASSWORD],UsePreviousValue=false \ ParameterKey=InstanceType,ParameterValue=m3.large,UsePreviousValue=false \ ParameterKey=KeyPairName,ParameterValue=[KEY_PAIR_NAME],UsePreviousValue=false \ ParameterKey=ManagementServerIP,ParameterValue=[MX_IP_ADDRESS],UsePreviousValue=false \ ParameterKey=ManagementSubnets,ParameterValue=[MANAGEMENT_SUBNET_1A]\\,[MANAGEMENT_SUBNET_1C],UsePreviousValue=false \ ParameterKey=NewUserName,ParameterValue=[USER_NAME],UsePreviousValue=false \ ParameterKey=NTPServers,ParameterValue=default,UsePreviousValue=false \ ParameterKey=ScalingMaxSize,ParameterValue=2,UsePreviousValue=false \ ParameterKey=ScalingMinSize,ParameterValue=2,UsePreviousValue=false \ ParameterKey=SecurePassword,ParameterValue=[SECURE_PASSWORD],UsePreviousValue=false \ ParameterKey=SecurePasswordReType,ParameterValue=[SECURE_PASSWORD],UsePreviousValue=false \

Page 13: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

サイトの設定

• SecureSphereを通してアクセスさせるサイトの設定をする

• 基本はReverse Proxy設定で転送先のELBのEndpointを設定するくらい

• 簡易的なRewrite機能もある

Page 14: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

アクセスしてみる

• 閲覧できたら成功

Page 15: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

攻撃してみる

• XSSやSQLインジェクション的なことをしてみる

• ブロックしてくれていたら成功

• (注)本デモに関してはツイートなど禁止で。

Page 16: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

• こんな感じで。

Page 17: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

こんな構成もできます

Page 18: JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話

まとめ• セキュリティ対策重要

• 扱うのに少々慣れが必要

• 設置よりも運用が大事

• ログの解析ができないと意味が無い

• 結構ライセンスが高いので覚悟が必要

• NATインスタンス重要


JAWS-UG Osaka Web : WordPress & CloudFront

JAWS-UG Osaka Web : WordPress & CloudFront

Technology
20150604 jaws-ug-sapporo15-lt-kaji

20150604 jaws-ug-sapporo15-lt-kaji

Technology
WordVolcano JAWS-UG + WordBench パネルセッション

WordVolcano JAWS-UG + WordBench パネルセッション

Documents
Jaws ug shimane-1

Jaws ug shimane-1

Technology
JAWS-UG Meets Windows (JAWS Days 2017)

JAWS-UG Meets Windows (JAWS Days 2017)

Internet
JAWS-UG Aomori #1

JAWS-UG Aomori #1

Documents
20130316 jaws ug-yokohama

20130316 jaws ug-yokohama

Documents
20160727 jaws ug-kobe_short_speak_alexa

20160727 jaws ug-kobe_short_speak_alexa

Technology
JAWS-UG Osaka 2014 Plan

JAWS-UG Osaka 2014 Plan

Technology
JAWS-UG Nagoya 7th 2013.12.07

JAWS-UG Nagoya 7th 2013.12.07

Technology
JAWS-UG saitama-vol3-20140222

JAWS-UG saitama-vol3-20140222

Technology
JAWS-UG ◯◯◯の紹介

JAWS-UG ◯◯◯の紹介

Business
20121112 jaws-ug sapporo8

20121112 jaws-ug sapporo8

Documents
2012 jaws ug紹介(熊本ug版)

2012 jaws ug紹介(熊本ug版)

Documents
20141129 jaws-ug joetsumyoko 01_intro

20141129 jaws-ug joetsumyoko 01_intro

Technology
JAWS-UG大分 20151102

JAWS-UG大分 20151102

Technology
JAWS-UG Aomori #0 LT

JAWS-UG Aomori #0 LT

Documents
俺と JAWS-UG と CLI

俺と JAWS-UG と CLI

Technology
20141129 jaws-ug joetsumyoko 02_twilio

20141129 jaws-ug joetsumyoko 02_twilio

Technology
20150530 JAWS-UG kintone Café Kochi

20150530 JAWS-UG kintone Café Kochi

Technology
jaws ug hiroshima-20150221

jaws ug hiroshima-20150221

Technology
JAWS-UG Tokyo SAP

JAWS-UG Tokyo SAP

Technology
jaws-ug kansai-special_kinesis_20150207

jaws-ug kansai-special_kinesis_20150207

Technology
JAWS-UG CLI #07 VPC

JAWS-UG CLI #07 VPC

Internet
20151102 jaws-ug ooita

20151102 jaws-ug ooita

Internet
JAWS-UG アップデート (2012-09-14 JAWS-UG 第13回 勉強会 )

JAWS-UG アップデート (2012-09-14 JAWS-UG 第13回 勉強会 )

Entertainment & Humor
JAWS-UG TOKAIDO 20140627

JAWS-UG TOKAIDO 20140627

Technology
jaws-ug kansai-special_aurora_20150207

jaws-ug kansai-special_aurora_20150207

Technology
InnovationEgg XEgg JAWS-UG 2014.02.15

InnovationEgg XEgg JAWS-UG 2014.02.15

Technology
JAWS-UG Nagoya 20160729

JAWS-UG Nagoya 20160729

Technology