ハマログ

株式会社イーツー・インフォの社員ブログ

AWS WAFでOWASP Top 10の対応

AWS WAFを導入したのでその記録です。
運用コストを考えると、自力でがんばるのはしんどいので、AWSのOWASP10テンプレートを利用しました。
CloudFormationのテンプレートをダウンロード
まずはじめに、以下のページからCloudFormationのテンプレートをダウンロードします。
Use AWS WAF to Mitigate OWASP’s Top 10 Web Application Vulnerabilities
CloudFormation用IAM Roleの作成
続いて、CloudFormationを実行するためのIAMロールを作成します。

IAMの画面からロール→ロールの作成をクリックします。
エンティティの種類は「CloudFormation」を選択します。
権限をアタッチします。
おそらく手抜きのAdministratorAccessをチョイス。
名前をつけて作成。新しいIAMロールができました。
CloudFormationの実行
続いてAWSマネジメントコンソールからCloudFormationの画面を開きます。

最初に入手したクラウドフォーメーションテンプレートを選択します。
スタックに名前をつけて、ロールを選択します。
CloudFormationが実行され、しばらく待つと完了します
ルールが10個できました!generic-detect-admin-accessはIPとURLの設定が必要なので、環境に合わせて調整しましょう。
今回はALBにアタッチして利用しました。導入当初はブロックではなく、カウントに設定して様子をみるのがよさそうです。
作業は以上です。テンプレートとAWSの手軽さのおかげで導入はあっという間に終わりますが、安定するまで運用ルールの監視と調整が必要になりそうです。

今回の環境でもWordPressの管理画面が利用できなくなるなど、いくつかの調整が必要になりました。
AWSOWASPOWASPZAPSecuritysqlSQLInjectionTop10WAFXSSインジェクションウェブアプリケーションファイアウォールセキュリティ

  kaneko tomo   2019年3月14日


関連記事

Terraformのディレクトリ構成を他記事を参考に考えてみる。

環境ごとにディレクトリを分けて、moduleを参照する メリット 再利用性が高い…

RDSのAurora MySQLで監査ログの出力を設定する

記事名の通りに『RDSの監査ログを出力せい。御用改めである』とお達しが来たので対…

AWS Lightsailで構築してみた。

AWSに始まってGCPと来て、今度は「軽いやつなんでLightsailで構築して…


← 前の投稿

次の投稿 →