AWS WAF(Webアプリケーションファイアウォール) の使用方法SQL注入、クロスサイトスクリプト、ハッカーの悪意のあるブラシ量を効果的に防ぐ

パブリックネットワーク環境では、外部のWebサービス、APPインターフェイス、または電気商サイトは、毎日オープンして営業すると、実際の顧客だけでなく、密集している

ハッカースキャナー、悪意のあるブラシ量の爬虫類、アプリケーション層の脆弱性に対する自動攻撃

。

多くの技術チームは防犯意識が足りず、サーバーにウィルス対策ソフトをインストールし、セキュリティグループが不要なポートをオフにすると万事順調だと思っている。その結果は：

コアデータベースは簡単なSQL注入文で直接略奪され、webページが悪意のあるスクリプト (XSS) に埋め込まれてユーザーの資金が盗まれたり、マーケティング活動のインタフェースがハッキングされたりして数分以内に何十万もの予算をやった。

伝統的な枠組みでは、このようなアプリケーション層 (OSI七層モデルの第七層) の悪意のある攻撃に対処するには、大量のバックエンドコードを変更したり、Nginxレベルで非常に複雑なブロックルールを書いたりする必要がある輸送コストが高く、正常な要求を誤って殺しやすい。

AWSアマゾンクラウド決済

アマゾンのクラウドでは、最も優雅で安心できる防御兵器は

AWS WAF(Webアプリケーションファイアウォール、Webアプリケーションファイアウォール)

。サーバーの最前線にいる「悪魔の警備員」のように、バックエンドのサーバーに到着しないことを要求する前に縁で様々なシェーダ、毒、悪意のあるブラシをドアの外に止めた。

今日のこの深いチュートリアルは、高度な安全な黒話をしないで、最も接地的な実戦的な視点でAWS WAFを徹底的に受け入れます。

コア原理:AWS WAFはどこにありますか?どうやって機能しているのでしょうか?

配置する前に、私たちはこの「警備員」があなたの枠組みの中でどこに立っているのかを明らかにします。AWS WAF

できない

1台のEC2クラウドサーバに直接接続すると、次の3つのコアのトラフィックエントリレイヤーに「寄生」することで機能します

アプリロードバランサー (ALB): アプリのロードバランサー。

Amazonクラウドフロント: あなたのグローバルCDNエッジノード。

Amazon API Gateway: あなたのマイクロサービスインターフェースゲートウェイ。

AWSアマゾンクラウド決済

アメリカのハッカーが悪意のあるコードを含む要求を入念に構築したとき:

トラフィックは、まずcloud frontcdnエッジノード (またはALB) に到着します。

AWS WAFが瞬時に介入。設定した「防御ルールセット (Web ACL) 」を使ってx線機のように、この要求のHeader (要求ヘッダ) 、Query String(URLパラメータ) 、Body (要求体) 、IPソースをスキャンする。

ハッカーの特徴にマッチすると、WAFは直接エッジで403 forbibufブロックを吐き出し、攻撃の流れ

バックエンドサーバの毛が届かず、CPUやビジネス帯域幅を消費することはありません。

第一段階: 三歩着地AWS WAFコア防御 (実戦写字作業)

AWS WAFの構成の中核は

Webacl (Webアクセス制御リスト)

。私たちは直接「国内または海外のALB負荷分散を保護する」を例にして、防御配置を行います

最初のステップ: Web ACLを新規作成し、ポータルをバインドします

AWSマネジメントコンソールにログインし、検索してWAF & Shieldコンソールに入ります。

左側のナビゲーションバーでWeb ACLsをクリックし、右側のCreate Web ACLをクリックします。

重要なパラメータ構成: リソースタイプ: クラウドフロントCDNを保護したい場合は、グローバル (クラウドフロント) を選択します負荷分散を保護する場合はニオンリソースを選択し、サーバが存在する地域 (us-west-2美西オレゴンなど) を選択します。Name: prod-web-waf-aclのような爽やかな名前を付けます。

下のアソシエートAWSリソースで、「Add AWSリソース」をクリックし、Webサービスを実行しているALBインスタンスをチェックします。「Next」をクリックします。

ステップ2: AWS公式管理ルールセットをワンクリックで構成する (SQL注入とXSSをブロックする)

AWS公式は、通常のハッカー攻撃に対応する「トップレベルの防弾チョッキ」を書いてくれました。

AWS Managed Rule Groups

。高度なネットワークセキュリティ対策を理解する必要はありません。

「Add rule and rule groups」ページで、右側にある「Add rule-> Add managed rule groups」をクリックします。

AWS managed rule groupsを展開すると、公式メンテナンス、リアルタイム更新のルールがたくさん表示されます。目を閉じて次の3つの「コア主力」をチェックすることを強くお勧めします。Core rule set (CRS): コアルールセット。これはWAFの魂で、ほとんどの一般的な脆弱性 (OWASP Top 10を含む) 、ローカルファイル (LFI) などの通常の攻撃に対する防御が含まれている。SQLデータベース (SQLi) rule set: SQL注入特別防御。要求中のデータベース特殊文字を見つめて、死死した後のデータベースの扉を溶接する。Knowbad input s rule set: 脆弱性スキャナ防御。多くのハッカーは、SQLmapなどの自動化されたオープンソースツールを使って、あなたの

ウェブサイト、この規則はこれらのツールのプローブを正確に識別して直接封殺することができます。

Add ruleをクリックして保存します。

ステップ3: レート制限をオンにします。

抜け穴攻撃を封じて、次は一番困っているものに対処しなければならない

悪意のあるブラシ量、衝突庫、爬虫類、CC攻撃

。

ハッカーはあなたの帯域幅を満たしたり、あなたのメール/認証コードのインターフェイスを印刷したりするために、大量の肉鶏や代理IPを使って短時間で狂って合併する。AWS WAFの

レートベース・ルール (レート・ベース・ルール)

それらを降服させる最強の手段です。

ルールページで、「Add rule-> Add my own rule and rule groups」をクリックします。

設定パラメータ: Rule type: Rate-basedruleにチェックを入れます。レートリミット (レートレッド): 単一IPの5分以内のアクセス上限を設定します。たとえば、通常のWebサイトでは、2000を設定すればよい。非常に敏感な登録/ログインインタフェースであれば、100-300に圧縮できます。Action: ブロック (直接ブロック) またはCount (ブロックされていないことのみを記録し、通常は前の観察に使用します) を選択します。

このように、ある海外IPが5分以内にあなたが設定した赤い線を超えたら、AWS WAFはすぐにこのIPに手錠をかけます次の訪問はすべて403を賞賛し、通常は5分から10分後に行動が正常になって初めて自動的に開封される。

第二段階: 上級者: WAFの「誤殺率」をどのように減らすのか?

安全分野には永遠のペインポイントがあります

守備が厳しいほど、いい人を間違えて殺しやすい。

例えば、あなたの会社の財務スタッフは、財務式を含むExcel表をバックグラウンドでアップロードしています。WAFのSQL注入ルールは、これがハッカーコードだと勘違いして、財務上の姉を直接傍受した可能性があります。

ベテランの設計者はWAFがオンラインになった初日に、次の2つの技術を使って運営を微細化します

1.まず「観察モード」をオンにする

新しく買った防弾チョッキはすぐに弾丸を止めないでください。本番環境でルールを追加したばかりの場合:

AWSアマゾンクラウド決済

ピットを避ける大きなトリック: 最初に参加したすべてのManaged ruleのActionをCountに変更します。

このモードでは、WAFは容疑者の要求を発見したときに実際に傍受するのではなく、ログに「容疑者」の印鑑を押して、要求を通過させ続ける。

3日から7日走って、コンソールに行ってWAFのcloud watchサンプリングログを見る。多くの正常なユーザーの正常な操作も捺印されていることを発見したら、説明します

ルールが過激だ。この場合、コンソールで特定のサブルールに対してExclude (除外) を行い、誤殺を洗浄した後、正式にActionをBlockに切り替えることができる。

2.「グリーンチャネル (IPホワイトリスト) 」を正確に開く

もしあなたの会社に専門的なパートナーがいたり、内部オフィスのパブリックネットワークIPが頻繁にインターフェイスを呼び出す必要がある場合は、ハッカーと一緒にセキュリティチェックをしないでください。

WAFでIP Setを手動で作成し、あなたの会社の固定パブリックネットワークIPを入力します。

Web ACLにカスタムルールを追加します。要求がこのIP Setから来た場合、Actionは直接hashに設定されますそして、このルールの優先度 (Priority) を一番上の0番の位置に言及します。このようにして、内部流量は直接顔を洗って入場することができる。

第三段階: AWS WAFの課金帳簿を見る) を参照してください

AWS WAFの課金は非常に爽やかで、見えないサーバのオーバーヘッドはありません

固定台座費流量処理費

のパターン:

Web ACLベース料金: Web ACLごとに毎月 $10を固定します。

ルール (Rule) 料金: Web ACLにルールを追加するたびに各ルールは毎月 $1を徴収する (AWS政府が持っている管理ルールセットの大部分は無料で提供し、追加料金はない)。

請求処理費: 真の柔軟な支出は、100万件の請求を処理するごとに $0.60を受け取る。

💡帳簿精算のケース: Web ACLを作ったとしたら、3つの基礎公式ルールと1つの制限速度ルール (合計4つのRule) を掛けたあなたのサイトには月に2000万回の請求があります。固定月リース: $10 (ACL) $1*4 (rule) = $14請求料 :( 2000万 / 100万) * $0.60 = $12総請求書: 月に26ドルしかかかりません。映画のチケット2枚のお金で、会社の中核業務に24時間肌着保護、疲れないトップレベルのデジタルボディーガードを依頼した。

まとめと身を守る口訣

現代のクラウドの原始的な枠組みでは、セキュリティ防御をバックエンドのコードに託すのは非常に危険で遅れている。AWS WAFを利用して、私たちは最外層のネットワークの端で悪意のあるトラフィックを洗浄する壮挙を完成した。最後にベテランが使っているWAFの口訣を4つ送ってください

入り口の最初のロック: WAFはALBまたはCDNの前にぶら下がって、ハッカーのプローブの縁が切れている。

公式管理はすべてチェックされている: CRS、SQLiが注入され、主要な脆弱性が一気に補充される。

制限速度ルールのブラシ量: 敏感なインターフェイスに赤い線をつけ、悪意のある爬虫類が直接点滅する。

先Count後B

Lock: 生産発表は油断しないで、ログを見てからアップグレードしてください。

AWSアマゾンクラウド決済