Weitere ähnliche Inhalte
Ähnlich wie Jazug_202102_csc_ichikawa (20)
Jazug_202102_csc_ichikawa
- 2. © Cyber Security Cloud Inc. All Rights Reserved.
ToC
2
1. 自己紹介/会社紹介
2. 前提知識 WAF とは
3. Azure WAF の仕組みについて
4. Azure WAF のルールについて
5. 他 Azure 機能との連携
6. ちょっとだけ宣伝
- 3. © Cyber Security Cloud Inc. All Rights Reserved.
自己紹介
3
市川悠人
株式会社サイバーセキュリティクラウド
WAF 自動運用サービス部部長
ERPベンダーで AI と NLP に関する R&D や
Web 開発のマネジメントを務める。
課題解決型の AI 人材ではなく、
課題発見型の人材になるべくキャリアチェンジ
2020年
株式会社サイバーセキュリティクラウド入社
- 4. © Cyber Security Cloud Inc. All Rights Reserved. 4
会社概要
社 名 株式会社サイバーセキュリティクラウド
設 立 2010年8月
代 表 者 代表取締役社長 兼 CTO 渡辺 洋司
役 員
取締役 倉田 雅史(公認会計士)
社外取締役 伊倉 吉宣(弁護士)
社外取締役 石坂 芳男
常勤監査役 安田 英介(公認会計士)
社外監査役 泉 健太
社外監査役 村田 育生
資 本 金 6億5,855万円(資本準備金を含む)
事業内容 ・AI技術を活用した Webセキュリティサービスの開発・サブスクリプション提供
・サイバー攻撃の研究及びリサーチ
・AI技術の研究開発
2020年3月に東証マザーズに上場いたしました。
- 5. © Cyber Security Cloud Inc. All Rights Reserved.
CSCのメインプロダクト
5
Managed Rules
for AWS WAF
Web Application Firewall (WAF) 及びに WAF 関連サービス
Azure WAF 関連製品
- 6. © Cyber Security Cloud Inc. All Rights Reserved.
ToC
6
1. 自己紹介/会社紹介
2. 前提知識 WAF とは
3. Azure WAF の仕組みについて
4. Azure WAF のルールについて
5. 他 Azure 機能との連携
6. ちょっとだけ宣伝
- 7. © Cyber Security Cloud Inc. All Rights Reserved.
WAF とは L7 の防御層
7
ファイアウォール IPS/IDS WAF
Web サイト
Web サービス
正常なアクセス
Web アプリケーション層への攻撃
ソフトウェア/OSへの攻撃
インフラ/ネットワーク層への攻撃
クロスサイトスクリプティング
SQL インジェクション
ブルートフォースアタック
etc, ...
- 8. © Cyber Security Cloud Inc. All Rights Reserved.
攻撃通信の増加は衰えを知らない
8
(億件)
2020年サイバー攻撃関連通信
約5,001億件
※出典:NICT NICTER 観測レポート2020(2021年2月16日公開)
- 9. © Cyber Security Cloud Inc. All Rights Reserved.
杜撰なセキュリティ対策の露呈
WEB セキュリティによってヘッジできるリスク
9
- 信用失墜による顧客の退会
- サービス停止による売上の損失
- プライバシーマークなど認定の取消
- カード会社からのペナルティ
- 取引先からの信頼失墜
- サプライチェーンからの締め出し
- 会社ブランドの毀損
個人情報・クレジットカード情報の漏洩
- 10. © Cyber Security Cloud Inc. All Rights Reserved.
WAF で防ぐことのできる攻撃
10
- インジェクション
- 認証不備
- 機密データの露出
- XXE
- アクセスコントロールの不備
- セキュリティ設定不備
- XSS
- 安全でないデシリアライゼーション
- コンポーネントの既知の脆弱性(ゼロデイ攻撃含む)
- 十分でない監視とロギング(WAFが監視とロギングも担う)
OWASP Top 10 (最新版 2017年)
- 11. © Cyber Security Cloud Inc. All Rights Reserved.
WAF で防ぐことのできる攻撃
11
- インジェクション
- 認証不備
- 機密データの露出
- XXE
- アクセスコントロールの不備
- セキュリティ設定不備
- XSS
- 安全でないデシリアライゼーション
- コンポーネントの既知の脆弱性(ゼロデイ攻撃含む)
- 十分でない監視とロギング(WAFが監視とロギングも担う)
OWASP Top 10 (最新版 2017年)
HTTPヘッダーインジェクション
LDAPインジェクション
OSコマンドインジェクション
SQLインジェクション
SSCインジェクション
XPathインジェクション
コマンドインジェクション
改行コードインジェクション
メールヘッダ・インジェクション
NULLバイトインジェクション
チームでのセキュアコーディングの徹底
OSSの実装調査には限界がある。
- 12. © Cyber Security Cloud Inc. All Rights Reserved.
WAF で防ぐのが難しい攻撃の例
12
- インジェクション
- 認証不備
- 機密データの露出
- XXE
- アクセスコントロールの不備
- セキュリティ設定不備
- XSS
- 安全でないデシリアライゼーション
- コンポーネントの既知の脆弱性(ゼロデイ攻撃含む)
- 十分でない監視とロギング(WAFが監視とロギングも担う)
OWASP Top 10 (最新版 2017年)
リスト型攻撃や、平文による通信で中間者攻撃され
たりするのを WAF で防ぐのは難しい。
Storage Account の公開設定の不備など。
通信機器の設定不備など。
脆弱なセッション情報の保持機構などを使っている
と WAF では防げないことがある。
- 13. © Cyber Security Cloud Inc. All Rights Reserved.
忘れてはいけない重要な WAF の効果
13
攻撃コスト・リターン ローリターン ハイリターン
ローコスト 狙われる 非常によく狙われる
ハイコスト 狙われにくい 狙われる
攻撃者に対する
セキュリティ対策してます!!
というアピール
OR
- 14. © Cyber Security Cloud Inc. All Rights Reserved.
ToC
14
1. 自己紹介/会社紹介
2. 前提知識 WAF とは
3. Azure WAF の仕組みについて
4. Azure WAF のルールについて
5. 他 Azure 機能との連携
6. ちょっとだけ宣伝
- 15. © Cyber Security Cloud Inc. All Rights Reserved.
WAF はエッジテクノロジーと連携
15
Application Gateway
Frontdoor
CDN
エッジサービス Web サイト
WAF Policy
App Service
Storage Account
WAF v1 か WAF v2 という
SKU のみ利用可能
エンドユーザー
プレビュー版
WAF は、Application Gateway, Frontdoor,
CDN と連携することで動作し、WAF Policy で実
際の防御ルールを設定できる。
- 16. © Cyber Security Cloud Inc. All Rights Reserved.
WAF 対応エッジテクノロジー
16
Application Gateway
Web トラフィックロードバランサー
- SSL 終端
- オートスケール
- ゾーン冗長性
- 複数サイトホスティング
- WAF
- etc, ...
SKU として
- Standard V1
- Standard V2
- WAF V1
- WAF V2
が存在する。
Standard 系は WAF が使えない。
CDN
エンド ユーザーに近いポイントオブプレゼンス
(POP) の場所のエッジサーバーに、静的コン
テンツをキャッシュして分散配信する仕組み
ドキュメントからは動的サイトアクセラレーション
機能があるように読めるが、
Frontdoor を利
用しているとのこと。
Frontdoor
最適なルーティングでクライアントから最も近い
配信拠点を選択して応答。地理的に広い範囲
から高いトラフィックが想定されるなら使いた
い。
比較的高価なので、状況によって利用の判断
をしたい。
Frontdoor
Frontdoor Standard
Frontdoor Premium
の SKU に分けられる
コンテンツ配信
ロードバランサー
- 17. © Cyber Security Cloud Inc. All Rights Reserved.
(New)Frontdoor のサービス範囲に変化
17
最近のアップデートでサービスの機能範囲に変化あ
り。
https://docs.microsoft.com/en-us/azure/frontdoor/standard-premium/tier-comparison
- 18. © Cyber Security Cloud Inc. All Rights Reserved.
WAF の適用例
18
Application Gateway Frontdoor
リージョンを跨ぐサービスをエッジで守る
ロードバランサで守る
- 19. © Cyber Security Cloud Inc. All Rights Reserved.
WAF Policy とは
WAF のルールや設定を
入れる箱。
Application Gateway, Frontdoor 用の
2種類の WAF Policy がある。
WAF Policy A Application Gateway A
Application Gateway B
Frontdoor A
Frontdoor B
Listener 2
Listener 3
WAF Policy B
WAF Policy C
1つの WAF Policy を複数の
リソースに紐付けできる。
Listener 1
- 20. © Cyber Security Cloud Inc. All Rights Reserved.
[App GW] WAF Policy / ポリシー設定
20
検出モードだと一切攻撃を止め
ません。導入の際の動作確認
時に使う。
特定のヘッダーパラメータや
Cookie 名を検査対象外すこと
ができる。
Body を検査対象とするか。
リクエストのサイズで大きすぎる
ものを弾くための設定です。基
本的にはデフォルト値で十分。
- 21. © Cyber Security Cloud Inc. All Rights Reserved.
[App GW] WAF Policy / 管理されているルール
21
Core Rules Set のバージョン
を選択できます。理由がなけれ
ば最新版で良い。
ルール毎の ON/OFF ができま
すが、個別に防止と検出の設
定ができない。
ルールを無効化すると、観測で
きなくなってしまうので正直不
便。
WafCharm を利用すれば
こういう不便はない!
- 22. © Cyber Security Cloud Inc. All Rights Reserved.
[App GW] WAF Policy / カスタムルール
22
優先度 1 - 100 でカスタマイズ
ルールを最大100 個まで設定
することができる。
例えば優先度45 と 46 の間に
ルールを突っ込もうと思うと並
び合う前後のルール全てを動
かす必要があってGUI でやる
のは面倒だったりする。
ちなみにこの100 個という数字
だが、カスタムルールだけで十
分に強力な WAF を構成でき
る。
- 23. © Cyber Security Cloud Inc. All Rights Reserved.
App GW と Frontdoor の WAF 比較
23
App GW Frontdoor
レートベース 無し 有り
管理されている
ルール
細かいルールの除外設定がで
きない
細かいルールの 除外設定が
可能
ポリシー設定
リクエストサイズ
リクエストサイズやファイルサイ
ズでの検知容易
リクエストサイズやファイルサイ
ズでの検知可能
ポリシー設定
除外設定
簡単にできる できない(ルール毎に編集する
必要がある)
総括 簡単に設定できる 細かく設定できる
- 24. © Cyber Security Cloud Inc. All Rights Reserved.
App GW と Frontdoor の WAF 比較
24
App GW Frontdoor
レートベース 無し 有り
管理されている
ルール
細かいルールの除外設定がで
きない
細かいルールの 除外設定が
可能
ポリシー設定
リクエストサイズ
リクエストサイズやファイルサイ
ズでの検知容易
リクエストサイズやファイルサイ
ズでの検知可能
ポリシー設定
除外設定
簡単にできる できない(ルール毎に編集する
必要がある)
総括 簡単に設定できる 細かく設定できる
App GW の WAF も多機能な Frontdoor の
WAF に進化していきそう。
レートベースの有無という違いはあるが、App
GW と Frontdoor 自体の違いのほうが大きい。
- 25. © Cyber Security Cloud Inc. All Rights Reserved.
WAF Policy と料金体系
25
WAF Policy
プロビジョニング費用
ルールセット
プロビジョニング費用
ルールセット
従量課金
カスタムルール
プロビジョニング費用
カスタムルール
従量課金
560円/月 2,240円/月 112円/100万リクエスト 112円/月 67.2円/100万リクエスト
Frontdoor と CDN (リージョンによる違いはない )
Application Gateway
Application Gatewayのインスタンス料金に含まれてしまい、
WAF 単体での計算ができない!
(参考までに)AWS WAF とほぼ同額
- 26. © Cyber Security Cloud Inc. All Rights Reserved.
ToC
26
1. 自己紹介/会社紹介
2. 前提知識 WAF とは
3. Azure WAF の仕組みについて
4. Azure WAF のルールについて
5. 他 Azure 機能との連携
6. ちょっとだけ宣伝
- 27. © Cyber Security Cloud Inc. All Rights Reserved.
Core Rule Set
27
Mod Security の Core Rule Set がベースになっています。
2.2.9, 3.0, 3.1 のバージョンがある。
SQL インジェクションや XSS に対応するルールなど、
基本的に重要なシグネチャは揃っている。
ただし
- 誤検知は多め
- 個別脆弱性への網羅性は高くない
なので CRS で実運用していくとなると、
カスタマイズが必須になってくるかと思われる。
困ったら WafCharm を使って欲しい!
- 28. © Cyber Security Cloud Inc. All Rights Reserved.
[App GW] カスタムルールの構成
28
ルール名
優先度
条件(複数)
結果
重複する名前は設定できない。
1 - 100 の値を設定します。数字の小さい順に検査されていく。
IP アドレス、番号(数字)、文字列、Geo ロケーションで条件を設定できる。複数の条件
は AND で結合される。
許可する
拒否する
記録する
=> 詳細は次ページ
- 29. © Cyber Security Cloud Inc. All Rights Reserved.
優先度と結果の処理方法
29
優先度
10
条件
日本以外からのアクセス
結果
記録する
優先度
15
条件
/admin.php へのアクセス
結果
拒否する
優先度
17
条件
クエリが (?i)((true|1|W|),s… に
マッチする
結果
拒否する
拒否!!
記録
結果が「許可する」「拒否する」であるルールにリクエストが該当した場合、そこ
で WAF の検査はストップする。
結果が「記録する」の場合はログに書き出されるものの検査が止まらず、優先
度に基づいて検査が続く。
- 30. © Cyber Security Cloud Inc. All Rights Reserved.
カスタムルールのサンプル
30
negateCondition で NOT 条件の指定ができたりする。
文字列は operator を使って、部分一致や前置一致などの条件で様々なパラ
メータを検査することができる。
また transforms を使えば大文字小文字、URL デコードといった揺らぎを吸
収することができる。
検査結果がマッチしたらリクエストを拒否するという設定。
https://docs.microsoft.com/ja-jp/azure/web-application-firewall/ag/create-custom-waf-rules
- 31. © Cyber Security Cloud Inc. All Rights Reserved.
ToC
31
1. 自己紹介/会社紹介
2. 前提知識 WAF とは
3. Azure WAF の仕組みについて
4. Azure WAF のルールについて
5. 他 Azure 機能との連携
6. ちょっとだけ宣伝
- 32. © Cyber Security Cloud Inc. All Rights Reserved.
WAF ログの保存
32
Storage Account Event Hubs
Azure Monitor
Log Analytics
ファイルストレージ
ファイル形式で行って時間間隔でログを
貯めることができる。
あまりログを利用することがなければ一
番安い。
ログストレージ
時系列でログデータが貯まる
長期保存になるとファイルストレージより
も割高だが保存と利用のコストバランス
が良い。
リアルタイムデータインジェストサービス
リアルタイム性が一番高い。
必ずしも時系列順ではないなどストリー
ムデータの特性を理解して使う必要があ
る。
保存先というよりはデータの一次受け。
適切に組み合わせて使うことでコストベネフィットを最適化しましょう。
- 33. © Cyber Security Cloud Inc. All Rights Reserved.
Azure DDoS Protection
33
特に設定しなくても Azure のリソースは DDoS Protection Basic によって守られてい
る。ただし Standard だと保証がついていたりする。
https://docs.microsoft.com/ja-jp/azure/ddos-protection/ddos-protection-overview
- 34. © Cyber Security Cloud Inc. All Rights Reserved.
WAF ログの可視化 Azure Monitor/Log Analytics
34
Azure Monitor はログの集積から、
ビジュアライズまで一貫して行えるサービス群。
歴史的経緯から機能の呼び名が分かりずらいので
Azure Monitor についてよくあるご質問
は目を通すとよい。
リソースからの情報をログとメトリクスという形で保管し
て、ダッシュボードやBookで可視化、さらには Insights
として自動応答システムを組むことができる。
https://docs.microsoft.com/ja-jp/azure/azure-monitor/overview
- 35. © Cyber Security Cloud Inc. All Rights Reserved.
Azure Monitor/Log Analytics のダッシュボード
35
ログというのが
Kusto Query Language(KQL) を
使ってログを可視化することのでき
るダッシュボード機能。
- 36. © Cyber Security Cloud Inc. All Rights Reserved.
Azure Monitor/Log Analytics の Book
36
ブックというのは
KQL を使って情報をビジュアライズ
する仕組み。
こちらは自分で盛り盛りと素敵な BI
ダッシュボードを作成するのもよい
が、
Sentinel の WorkBook から
WAF のテンプレートブックを活用し
た方が圧倒的に楽。
Azure WAF との連携において、他
の項目は色々と使いこなしたくなっ
てから調べるので良いと思う。
- 37. © Cyber Security Cloud Inc. All Rights Reserved.
WAF ログの可視化 Sentinel/Workbook
37
Azure Sentinel 自体は SIEM + SOAR ということでシ
ステムログの集積から監視、インシデント発見までを構
築するためのプラットフォーム。
収集から監視については WorkBook テンプレートを利
用して簡単に始められる。
インシデント発見についてもある程度はテンプレートとな
る指標が用意されている。
まずはテンプレートから入って、徐々に自分たちの環境
に合わせてカスタマイズしていくのが良いのではない
か。
(ドキュメント読んだだけだと具体的にヨクワカラナイ)
https://docs.microsoft.com/ja-jp/azure/sentinel/overview
- 38. © Cyber Security Cloud Inc. All Rights Reserved.
余談、違いの分かりづらい3銃士
38
Sentinel
Security Center
Security Defender
アップグレード
CSPM, CWP, EDR
クラウドの設定は安全ですか?
VM や DB は安全ですか?
ハイブリッドクラウド
より多様な Azure リソースの管理
SIEM, SOAR
情報収集
インシデントの発見
通知
自動対応
情報収集
情報収集
アプリケーションログ
アクセスログ
etc, ...
- 39. © Cyber Security Cloud Inc. All Rights Reserved.
WAF ログの可視化 Sentinel/Workbook
39
設定の仕方をブログにしたので参
考にしていただければ。
https://www.wafcharm.com/blo
g/microsoft-azure-sentinel-azur
e-waf-jp/
Sentinel は別途料金が発生する
ので注意する必要がある。
- 40. © Cyber Security Cloud Inc. All Rights Reserved.
ToC
40
1. 自己紹介/会社紹介
2. 前提知識 WAF とは
3. Azure WAF の仕組みについて
4. Azure WAF のルールについて
5. 他 Azure 機能との連携
6. ちょっとだけ宣伝
- 41. © Cyber Security Cloud Inc. All Rights Reserved.
WafCharm という名前を覚えて欲しい!
41
攻撃遮断くんで培ってきた運用経験や AI による攻撃発見技術をベースにした質の高いシグネチャ
お客様の環境に合わせた無償のカスタマイズ(※ Business プラン以上)
400弱の AWS ユーザー(2020年12月時点)に選ばれているという実績
etc, ...
無料で始められる!
https://www.wafcharm.com/
- 42. © Cyber Security Cloud Inc. All Rights Reserved.
END
42
クレジット
本スライド作成にあたっては下記のウェブサイトで公開される素材を利用した。
freepick (https://stories.freepik.com/people)