クラウド、レンタルサーバ、SEO、WPなどのレシピを!

サーバーレシピ

AWS AWS認定試験 WEBアプリ

AWS WAF(Webアプリケーションファイアウォール)/ 不正アクセスを未然に防ぐ

更新日:

AWS WAFとは

AWSには、Webサービスを安全に運用する手段がいくつか用意されいます。
その中の一つ、「AWS WAF」。
AWS WAFとは、WEBサービスの脆弱性を、開発した(サービスをしている)WEBサービスにアクセスされる「前に」阻止しましょう。というサービスのひとつです。

AWS 認定クラウドプラクティショナー試験

このWAFは、「AWS 認定クラウドプラクティショナー」に試験問題として何問かでてきました。
まったく勉強をしていなく(汗)、試験当時、「うわー」という感じでした。
昨今のセキュリティ対策などは、出てきますので、過去の問題に捕らわれず、勉強をしたほうがイイです。
Iamでの制御も、一歩踏み込んで勉強するのがいいかと思います。

AWS 認定クラウドプラクティショナーに向けて 2018年版
AWS 認定クラウドプラクティショナー 合格しました!

AWS WAF 適用範囲

AWS WAFでは、グローバルサービスのCloud Front、およびリージョンサービスのALB、API Gatewayに適用ができます。
今回、CloudFrontに適用してみます。

条件の設定(Create Conditions)

↑「Go to AWS WAF」を選びます。

↑「Configure web ACL」を選びます。

↑WAFの制御方法の概略が出てきます。次の画面に行きます。

↑名称と、どのサービスに対して、WAFを設定するかを選択します。
上記は、「CloudFront」を選んでいます。「CloudFront」を選ぶと、自動的にサービス中のリソースが出てきます。

↑リージョンサービスを選ぶと、「ALB」「API Gateway」を選ぶことができます。
今回は、前者の「CloudFront」を選択します。

↑「条件」を設定します。今回は、「XSS(クロスサイトスクリプティング)」に対してWEBサービスを守る設定をします。上記の「Create condition」を選びます。

↑「Filter settings」のところで、「QueryString」を選び、「lowercase」「HTML tags」など、すべての条件をフィルターにかけます。

↑条件が設定されました。

条件からルールを設定

↑Step3 になり、「Create rules」を選びます。

↑「Add conditions」のところで、「マッチしたとき」というルールで、設定した条件を加えて、「Create」を選びます。

↑前述のルールの場合、「Block」して、これにマッチしないものは、「通過」という設定をします。

 

↑最終確認です。「Confirm and create」を選びます。

動作確認

↑XSSの例として、不正なアクセスをしてみます。上記は、設定前の動作

↑AWS WAF(Webアプリケーションファイアウォール)を設定したあとでは、上記の通り、エラーとなります。

AWS WAF(Webアプリケーションファイアウォール)まとめ

「AWS WAF」は、「AWS 認定クラウドプラクティショナー」の試験にも出るくらいなので、しっかりとおさせておきたいです。



-AWS, AWS認定試験, WEBアプリ

Copyright© サーバーレシピ , 2019 All Rights Reserved.