AWS WAFと一般的なWAFについて

 以前の記事で、「FWはL3・L4までのレイヤについて検査し、WAFはL7について検査する」という説明をしました。FWでは送信元IPアドレスとポート番号が拒否対象に指定されていなければ通過させてしまいます。80/tcpや443/tcpであれば、Webサーバに対する通信と判断して許可します。通信の内容まではFWでは関知しない(出来ない)ので、WAFで内容を検査します。
 FWとWAFでは守備範囲が異なるので、相互補完関係が成立するというところまで書きました。

 その後、AWS WAFについて調べてみました。Amazonが提供するAWS WAFの説明記事を読んでみました。
https://aws.amazon.com/jp/waf/
 こちらに関しては、ごく一般的なWAFに関する説明がなされていました。代表的なSQLインジェクションや、クロスサイトスクリプティングなどをフィルタリングするというような内容になっています。
 一般的なWAFの機能はきちんと押さえている印象です。(当然ですね)

 次に、AWS WAFセキュリティオートメーションに関する記事を読んでみました。こちらにはAWS WAFに関する機能詳細について記されています。
https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/

 B,Cは上述のように、SQLインジェクションやクロスサイトスクリプティングなので、一般的なWAFの機能です。これらは納得しました。Eの「IPアドレスブラックリスト/ホワイトリスト」の項目を見て、「?」と思いました。

 「WAFはL7しか見なくて、L3は見ないのでは???」と。

 AやDやFを合わせてよく読んでみると、「怪しい(または明らかに攻撃を仕掛けてくる)ホストのIPアドレスを調べてブロックリストに追加する」とのことです。
 攻撃元の身元を識別して、ブロックリストに登録するためにIPアドレスを利用しているのであって、最初からIPアドレスを基に拒否するわけではありません。

 FWで対応出来ることは、最初の時点でIPアドレスベースで拒否したり、WAFでは拒否出来ないhttp/https以外のポートを閉じたりすることです。不特定多数からのアクセスを受け入れる必要のあるhttp/httpsに関しては、FWレベルでは「問題のない通信」として通さざるを得ないことになります。
 WAF側でhttp/https通信の内容を解析して、問題ある通信だと判断した送信元IPアドレスを調べてブラックリストに登録します。次からは当該IPアドレスからの通信は許可しなくなります。
 「これはFWの守備範囲ではないか?」と思いましたが、FWとWAFが連動していることが前提になります。怪しいIPアドレスをWAFが検知して、そのIPアドレスをFWに渡して登録してくれればいいのですが、連携機能が双方になければWAF側で弾くことになります。
 この場合のIPアドレスブラックリストで弾く通信は、登録されたIPアドレスからのhttp/https通信です。FWで登録すると弾ききれないと考えられるケースは、80/tcpや443/tcp以外のポートでhttp/https通信が行われた場合でしょうか。FWではL7までは見ませんので、たとえば8443/tcpでhttps通信が行われていた場合は8443/tcpを拒否していない場合は通過させてしまいます。
 かといって、全てのポートを閉じてしまったら、外部との通信が途絶してしまいます。「特定のIPアドレスからのhttpまたはhttps通信をポート番号問わず拒否したい」という場合にはWAFでないと対応出来ません。

 ここまで調べた結果、AWS WAFと一般的なWAFの違いについては、個別の機能の差であることに帰着しました。WAF全般的に言えることですが、ルールの設定が負担になります。個々に設定して行く必要がありますので、設定内容1つ1つを吟味しなくてはなりません。
 AWS WAFではマネージドルールとして、汎用設定がパッケージ化されています。こちらを上手に活用することで負担軽減につながります。
https://aws.amazon.com/jp/about-aws/whats-new/2018/02/new-products-for-managed-rules-on-aws-waf/

 他にはログ解析・IPリスト解析を自動で行い、ブロックリストに自動登録してくれる点がAWS WAFの優れている点ではないでしょうか。

 一般論に戻りますが、IPAがリリースしているWAFに関する資料である「WAF読本」に一般的なWAFの機能に関する説明があります。こちらも合わせて御参照下さい。
https://www.ipa.go.jp/files/000017312.pdf
AWS WAFと一般的なWAFについて

  • このエントリーをはてなブックマークに追加

コメントをどうぞ