国産WAFベンダーCSCから新しいAWS WAFマネージドルールがリリースされたので使ってみた
こんにちは、臼田です。
みなさん、WAFWAFしてますか?(挨拶
今回新しいAWS WAFのマネージドルールがリリースされました。
AWS Marketplace: Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-
しかも、提供しているのはCyber Security Cloud(CSC)さんで、WafCharm等のサービスを行っている日本のベンダーさんです。
AWS WAFのマネージドルールを提供している会社としては国内初です!
早速マネージドルールを見ていきましょう。
ちなみにAWS WAFマネージドルールって何という方は下記をご参照ください。
AWS WAFマネージドルールの内容
ルールは上述したこちらのリンクにあります。
AWS Marketplace: Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-
OWASP Top10に対応したルールとして提供されていて、説明では下記項目にも触れています。
- PCI-DSS等の要件を満たす
- SQLi, NoSQLi, OScommandiなどのコードインジェクション対応
- XSS, ディレクトリトラバーサルへの対応
- 一般的な既知のエクスプロイト(Apache Struts2/ Apache Tomcat/ Oracle WebLogic/ WordPress/ Drupal/ Joomla!/ Malicious Bots等)への対応
頼もしいですね。
価格は下記のとおりです。その他のOWASP Top10ルールであるFortinet($30)とF5($20)の間くらいになっています。
1ヶ月あたり1リージョン毎 | $25 (1時間毎で分割して計算) |
100万リクエストあたり1リージョン毎 | $1.2 |
使ってみた
ルールを適用する
適用手順は下記でも紹介しておりますので省略します。
検知してみる
今回もDVWAを使ってXSSとSQLiの検知を確認します。調べてもらえれば分かる人には分かるので、詳細は省きます。
まずは/dvwa/vulnerabilities/xss_r/
でXSS
を試します。
続いて/dvwa/vulnerabilities/sqli/
でSQLi
を試します。
それぞれ403となり問題なく検知しています。WAFのログを確認してみます。ログの設定方法とAmazon Athenaでのクエリ方法は下記を参照してください。
ブロックしているログが確認できました。
日本語サポートについて聞いてみた
2019/03/20追記 リリース時にはWafCharm契約利用時の日本語サポート対応でしたが、「お問合せから3営業日以内を目安に回答いたします。」という条件で標準的に日本語対応されました!「Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set-」において、日本語/英語サポートを開始。|株式会社サイバーセキュリティクラウドのプレスリリース
国産ベンダーということで、もしかしたら日本語のサポートが受けられるのでは!?と思いCSCさんに問い合わせたところ以下の回答をいただきました。
Managed Rule 単体のご利用の場合は、英語のみの対応とさせていただいてます。
尚、WafCharm(全プランが対象) と併用いただいているお客様については、WafCharmサポートが一元窓口となり、日本語でのサポートも可能となります。 日本語サポートをご希望のお客様につきましては、WafCharm営業窓口([email protected])までお問い合わせください。
また、近日中にはWafCharmにて、Managed Ruleに関連する新機能のリリースを予定しております。
なんということでしょう。マネージドルール単体では難しいものの、WafCharmとの組み合わせで日本語サポートが可能とのことです。
そして、WafCharmとマネージドルールの組み合わせで新機能の予感…!!これは期待ですね。
まとめ
CSCさんよりリリースされたAWS WAFマネージドルールについて検証したりしてみました。
場合により日本語サポートが可能であったり、他のWAFサービスとの連携について垣間見えたりと、単純なマネージドルールとしての機能だけではない期待が持てるリリースだと思います。
WAFのルールチューニングとかを気にされている方は、特に参考にしてみてください!