WAF

はじめに 不特定多数に公開するWebアプリではない場合、セキュリティの観点からするとできればサインイン画面まで到達する前にアクセス制限をかけ、そもそもWebアプリまで到達できないようにしたい。 サインイン認証をMFAなどで強固にすることで不正アクセスの対策にはなるが、そもそもアクセスされてサインイン試行されまくるとそれだけでサーバーに負荷がかかる。 そこで今回はAWSマネージなサービスだけでアクセス制限を実現する方法を整理したいと思います。 アクセス制限する方法 クライアントからのアクセスを制限する方法はいくつか考えられる。 接続元のIPアドレスによる制限 クライアント証明書による認証 外部I…

CloudFrontのカスタムエラーレスポンス機能を使ってメンテナンスページを表現する方法が有名ですが、WAFのカスタムレスポンス機能のみでも実現可能です。

メンテナンスの際に、手軽にAPIやフロントのメンテナンスモードを切り替える仕組みが欲しかったので作りました。 具体的には、IP制限やメンテナンス用のレスポンス定義を、スクリプトで切り替えられるようになります。

WAFをCloudFormationで作成してIP制限を行いたいが、IPリストの増減のたびにymlファイルを変更したくない！ ということで、それを満たすような作り方をしました。

2021年03月にリリースされたAWS WAF v2のカスタムレスポンス機能を使って、APIから「メンテナンス中」の旨を返すようなメンテナンスモードを実現してみました。

いつも書いてるようなソースコードなのに何故かどうやっても動かない！各種設定値も間違ってない！でも動かない！ 今回はそんな出来事を書き残していきたいと思います。

概要 AWS WAFv2を実際に使って検証したので、その際につまずいたところや考慮したほうがいいところなどまとめます。 今回はレートベースのルールを使ってリクエストの発生元の IP アドレスが同一のものからリクエストが閾値以上になったらブロックする設定にしました。 レートベースのルールは、5分間あたり100リクエストから閾値に設定することが可能となっているので、低頻度のクローラー対策にも対応できます。 aws.amazon.com 構成 今回はWAFをCloudfrontにアタッチする想定で検証しました。 AWSリソースは、Terraformでコード管理します。 Terraform Terra…

2021-10-15 How to Start your Cloud Security Journey (click here to source) クラウドセキュリティの旅を始める上で重要な重点分野のいくつかは次のとおりです。 脅威モデリング セキュリティの設定ミスの修正 ネットワークアクセス クラウドリソースへのアクセスの改善 IAMポリシーの保護 ロギングとモニタリングの実装 脅威モデリング 脅威モデリングは、脅威を特定し、システムへの脅威を防止または軽減するための対策を定義するプロセスです。 脅威のモデリングに関連する手順： アーキテクチャ図を作成する 脅威を特定する STRIDEやP…

私のボスの原さんの恒例のアライアンスフォーラムというイベントが、今年はコロナのため、オンラインになりました。 どなたでも参加できるので、ぜひ参加登録して視聴してみてください。 参加費無料。 参加登録はこちらからできます。 https://allianceforum.info/form/index/input.html －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 2021ワールド・アライアンス・フォーラム東京円卓会議（WAF東京）事務局です。WAF東京の開催まで、あと１週間です！本日は、主催者代表 原丈人より、時代の変化を理解し運動を起こすために、2021WA…

はじめに こんにちは、SRE部 ECプラットフォーム基盤SREブロックの亀井です。 ZOZOTOWNのマイクロサービスプラットフォーム基盤（以下、プラットフォーム基盤）ではサービス間通信におけるトラフィック制御・カナリアリリース実装のため、Istioによるサービスメッシュを導入しました。現在は初期段階としてBFF機能を司るZOZO Aggregation APIとその通信先サービス間へ部分的に導入しています。 ZOZO Aggregation APIについては、以前に三神が紹介しているので、そちらの記事をご参照ください。 techblog.zozo.com その後、Istioによる一貫したトラ…

小西秀和です。 こちらの記事は以前の記事「AWSの静的ウェブサイトホスティングで入門するAWS Amplify(Console、CLI) － 構築編(Amplify CLI)」の続編という位置づけで、次の記事で作成したAWS CloudformationテンプレートでAWS Amplify CLIのAmazon S3＋Amazon CloudFrontのホスティング環境を拡張しようというものです。 AWS LambdaカスタムリソースでSSL証明書・基本認証・CloudFrontオリジンフェイルオーバーを作成するAWS Cloudformationスタックを別リージョンにデプロイする 「AWS…

はじめに どうも、iselegant です。 前回、執筆した商業誌について本ブログで紹介させていただいたところ、大変多くの反響がありました。 コメントをくれた方、書籍に関心を持っていただいた方、本当にありがとうございます🙇 AWSコンテナ設計・構築[本格]入門 | 株式会社野村総合研究所, 新井雅也, 馬勝淳史, NRIネットコム株式会社, 佐々木拓郎 |本 | 通販 | Amazon 本日から少しの間、分量調整と締め切りの都合上、商業誌では執筆しきれなかった AWS 設計に関するサイドトピックについて、本ブログ上でご紹介したいと思います。 今日はALB (Application Load B…

CI部1課の山﨑です。 これまでAmazon Athenaを利用してS3に保管されているAWS Config/AWS CloudTrail のログを調査する方法を調べましたが、今回はVPC Flow Logs のログを調査する方法を調べてみました。 blog.serverworks.co.jp blog.serverworks.co.jp おさらい VPC Flow Logs VPC Flow Logs とは VPC Flow Logsの見方 Amazon Athena Amazon Athena とは S3のログを調査してみる Athena でクエリを実行するテーブルを作成 Athena で…

2021年10月4日（現地時間）、Apache HTTP Serverの深刻な脆弱性を修正したバージョンが公開されました。同ソフトウエアの開発を行うThe Apache Software Foundationは既に脆弱性を悪用する活動を確認していると報告しています。ここでは関連する情報をまとめます。 何が起きたの？ Webサーバーソフトウエア「Apache HTTP Server」の特定バージョン（2.4.49）において、深刻な脆弱性（CVE-2021-41773）を修正したバージョン（2.4.50）が公開された。また、修正前より悪用する動きがThe Apache Software Found…

前々回の記事の注釈でマンションポエムに少し触れました。 マンションポエム。マンション広告に見られる詩的なキャッチコピーのことをぼくはそう名付けた。（文春オンライン https://bunshun.jp/articles/-/10004 ） 自動車ポエムはさらに前からありますね（例えば1970年代「ケンとメリーのスカイライン」、1980年代「いつかはクラウン」など） "ポエム"って乙女チックな印象がありますが、身近な観察によれば女子はポエムを好んだとしても割と早くに卒業してしまい、むしろ男子が中学生以降ずっとポエム好き。"男のロマン"とかいっちゃってね。もちろん私もポエム大好きおぢさんです。 な…

歴史上もっとも大きなスケールのDDoS攻撃を生じさせたとされているマルウェア「Mirai(ミライ)」ですが、どういった理由で幾多のIoTデバイス内部のファイルへとMiraiが組み込まれてしまったのでしょうか。本格的なIoT時代が訪れる前に、もう一度Miraiによる体系的に攻撃する方法と対策について解説します。 Mirai(ミライ)とは何か 2016年9月、セキュリティ情報ブログ「Krebs on Security」が、とても多くのパケットを示された目標に向けて送り出すことでサービスをダウンさせてしまう、世間一般に言われる「DDoS攻撃」の被害に遭遇したことによって、サーバがシステムダウンしてし…

はじめに こんにちは。最近１回目のコロナワクチンを打ってきたのですが、会社のワクチン休暇制度のおかげでゆっくり休むことができて満足なshigaです。 ワクチン接種休暇制度とは、ワクチンを接種した日と翌日を特別休暇として休むことができる制度で、ワクチン接種１回目、２回目のそれぞれ４日間休暇を取得できます。なんと、このワクチン休暇制度は有給休暇とは別で、有給休暇が消化されることはありません！この制度のおかげで、会社に「ゆっくり休んでください」と言ってもらえている気がして、ワクチン接種後に安心して休むことができました。実際にワクチンを打った翌日には熱が38.6℃まで上がって体の節々が痛かったので、こ…

ツイート Ken Ide @k1dee Explorer paneのfontを小さくしたいんだが言うこと聞かない...、気長に取り組む。 #VSCode #Bullseye 10:28 Ken Ide @k1dee 数週間ぶりにMacに戻って作業してる。今回vpn等Appleのnetwork/security周りの将来性に不安を感じ、 #debian を復活したんだけど、(以前より随分進化したとはいえ)desktop環境としてはこいつは枯れてて優秀。 11:49 Ken Ide @k1dee 「10月11日は平日です!」 カレンダーに要注意、政府が呼びかけ | 毎日新聞 https://mai…