AWS セキュリティ対策

●攻撃種類

SQLインジェクション

アプリケーションの脆弱性により本来の意図ではない不当な「SQL」文が作成されてしまい、

注入されることによって、データベースのデータを不正に操作される攻撃

WEBアプリケーションへの攻撃

クロスサイトスクリプティング

攻撃対象のWebサイトの脆弱性を突き

攻撃者がそこに悪質なサイトへ誘導するスクリプトを仕掛けることで

サイトに訪れるユーザーの個人情報などを詐取する攻撃のことを指します。

WEBアプリケーションへの攻撃

DDoS攻撃

サーバーやネットワーク機器などに対して大きな負荷がかかるため、

ウェブサイトへのアクセスができなくなったり、ネットワークの遅延が起こったりします。

サーバーの脆弱性を狙う攻撃

 

AWS Network firewall

VPC全体に対するファイアーウォー ルを設定して、不正アクセスから防御する。

☆ファイヤーフォールサブネットを作成してそこにファイアウォールエンドポイントを作成

トラフィックファイアウォールエンドポイントを通りサーバーに届く

インターネットゲートウェイが紐付いたルートテーブルはファイヤーウォールエンドポイントを指す。

 

3つの構成要素が存在。

・ファイアーウォール

ファイヤーウォール本体。

AZごとに定義する。

・ファイアーウォール ポリシー

ファイアウォールの動作を定義するポリシー 

ファイアウォールは 1 つのファイアウォールポリシーにのみ関連付ける。

再利用可能。

・ルールグループ

ルールの集合体

Stateless rule group と Stateful rule group があり、

それぞれステートレス/ステートフルにパケットを検査するルールの集合体です。

複数の Rule group を Firewall policy と紐づけて利用します。

1 つの Rule Group 内には複数のルールを設定できます。

参考:

https://blog.serverworks.co.jp/all-about-aws-network-firewall

 

AWS WAF

Webアプリケーションの前面やネットワークに配置し、脆弱性を悪用した攻撃を検出・低減する対策

WAFで検出するものはHTTP通信(リクエスト、レスポンス)

・ELB、Cloudfont、API Gatewayに設置可能

○できること

SQLインジェクション

クロスサイトスクリプティング

不正ボットによるアクセスの遮断コンテンツの無断転用への対策など

Referer制限

Referer=あるWebページのリンクをクリックして別のページに移動したときの、リンク元のページのこと。

・指定したリクエスト以外のすべてのリクエストを『許可』する
特定の攻撃者からのリクエストを排除するときに利用します。

 

・指定したリクエスト以外のすべてのリクエストを『ブロック』する
制限されたウェブサイトを作りたい時に利用します。
例 : 日本国内以外からのアクセスは出来ないようにしたい。

 

・指定したプロパティに一致するリクエストをカウントする
テスト用。全てのアクセスを拒否するようになっていないか確認するために使うことがあります。

確認した後はリクエストを許可または拒否するように動作を変更できます。

 

参考:

https://qiita.com/oudon722/items/64de3880b8d65e799e59

 

AWS shield

DDos攻撃専用のファイヤーウォール

・対象となるのはCloudFrontとRoute53のエッジロケーションの前に配置され、全ての着信パケットを検査

・Standard版は無料/Advanced版は有料

 

firewall manager

AWS Organizationsに属したアカウントとアプリケーションに 対して

一元的にファイアウォールのルールを設定、管理する。

○できること

Amazon VPC セキュリティグループ

AWS WAF ルール

AWS Shield Advanced 保護

AWS Network Firewall ルール

Amazon Route 53 Resolver DNS Firewall ルールを自動的に適応できる。

 

Amazon GuardDuty(ガードダディー)

AWS環境のセキュリティを継続的にチェックしてくれる

各種ログを自動的に取得して、機械学習で分析して異常を通知してくれる

CloudTrailのイベントログ、VPCフローLogs、各種リソースからのDNSログなどから検知

・実際のログを分析して脅威が存在するかをチェックし通知

 

Amazon Inspector(インスペクター)

EC2のみ。

稼働しているWebサーバーなどに対して、

擬似的なサイバー攻撃を仕掛けるといった方法などで評価する手法

・セキュリティレベルを診断するサービス。

 

ペネトレーションテスト

仮想的なサイバー攻撃を仕掛けることで、セキュリティ上の問題を特定する手法

外部の攻撃から社内の機密情報が盗まれるとしたらどのような経路があり得るのか、

社内に侵入した攻撃者がどこまで被害を与えられるかといった対象でテストする。

AWSに事前申請が必要だったが、以下8つのサービスは申請不可。

EC2 インスタンス、NAT ゲートウェイ、Elastic Load Balancer

RDS

CloudFront

Aurora

API Gateway

Fargate

Lambda 関数および Lambda Edge 関数

Lightsail リソース

Elastic Beanstalk 環境