AWSセキュリティ

AWS WAFとは

HTTPリクエストをレイヤー7(アプリケーション層)でフィルタリングするWebアプリケーションファイアウォール。SQLインジェクション・クロスサイトスクリプティング(XSS)・悪意あるIPからのアクセスを遮断するWebACLルールを定義する。

CloudFront・ALB・API Gateway・AppSync・Cognito User Poolsにアタッチできる。AWS Managed Rules(マネージドルールグループ)を使うとすぐに主要な攻撃パターンに対応できる。

試験での問われ方

「DDoS・SQLインジェクション・レート制限・IP許可/拒否リスト」シナリオではWAFを選ぶ。AWS Shieldとの使い分けはWAFがL7アプリケーション攻撃対策、ShieldがL3/L4のDDoS軽減という役割分担が頻出。Shield Advancedに加入するとDDoS時のコスト補償や専用チーム支援が付く点も問われる。

WAFはネットワークACLやセキュリティグループと異なりHTTPコンテンツを検査できる点が試験問題の鍵になる。

自前でルールを書かなくても、AWS Managed Rules(OWASP相当のCommon Rule Set、既知の不正IPリスト、SQLインジェクション対策などのルールグループ)を有効化すれば主要な攻撃にすぐ対応できる。自動化ボットの判定にはBot Controlを使う。許可/拒否(Allow/Block)に加えて、人間かどうかを確かめるCAPTCHAアクションや、裏でブラウザに課題を解かせて自動化を弾くChallengeアクションも選べる点が新しめの出題ポイントだ。

公式ドキュメントを読む →

このサービスが登場する演習問題(3問)

関連サービス