awsは世界中の人に使われているクラウドサービスです。awsを使えば、誰でも簡単に理想のサービスの運用が可能となるでしょう。しかし、サービスの運用ではセキュリティにも気を付けなければなりません。そのため、awsでサービスを運用する際は、セキュリティを強化するサービスの利用も検討すべきです。参照元⇒AWS運用

この記事では、awsのセキュリティサービスの1つである「aws waf」について紹介します。

awsとは?

awsとは「Amazon Web Service」の略称で、Amazonが提供するクラウドサービスの総称を指しています。クラウドサービスは世界に多くありますが、awsはシェア率3割と世界中の人に使われるクラウドサービスとなっています。

中でも注目すべきは、100種類以上もある豊富なサービス量です。そのため、初心者から専門家、個人から企業規模の運用まで、あらゆるクラウドサービスの需要を満たすことが可能です。

そして、awsはセキュリティを常に最新のものに更新し続けており、安全にクラウドサービスを使える環境を整えています。

重要な情報を外部サーバーに安全に保管するための場所としても、awsは役目を果たしてくれるでしょう。このように、awsは利用者のあらゆるニーズを満たし、安全なクラウド環境を提供してくれるサービスとなっています。

クラウドサービスの運用はセキュリティに気を遣うべし!

クラウドサービスはあらゆる面で便利なサービスです。自分で物理サーバーを保有・運用する必要がないので、場所や整備など物理的なコストや手間を抑えることができます。しかし一方で、クラウドサービスは外部からの通信の影響を受けやすい特徴があります。

そのため、クラウドサービスの運用では外側からのセキュリティに気を遣わなければなりません。awsには、クラウドサービスをより効率よく簡単に運用するためのサービスも存在します。そのうちの1つに、「aws waf」というものがあります。

aws wafを使えば、awsの運用をより強固なセキュリティの中で行えるようになるでしょう。

wafとは?

wafとは「webアプリケーションファイアウォール」の略称で、ソフト・ハードウェアのセキュリティ対策を強化するサービスのことです。aws wafは、awsの別サービスである「Amazon CloudFront」や「Application Load Balancer(ALB)」上でのみ動作可能です。

以降の説明では、wafは「aws waf」を指すものとします。主な機能として、webアプリケーションの通信のフィルター、監視、ブロックの機能があります。通常のファイアウォールは、送受信される通信内容を読み、不正な通信を識別したら遮断するセキュリティシステムとなっています。

対しwafは、webアプリケーション単位で機能するファイアウォールシステムです。そのため、各webアプリケーションごとの脆弱性に合わせたセキュリティ対策を練ることができます。従来のセキュリティシステムと組み合わせれば、ほとんどの不正通信を防御することができるでしょう。

wafでできる具体的なこと

wafには、クラウドサービスとして提供されるセキュリティならではの特徴が多くあります。1つは「CDNの可用性と拡張性に優れている」点です。wafはCloudFront上で展開することで、CDN(コンテンツ配信ネットワーク)として高い可用性と拡張性を持たせることができます。

CloudFrontには、通信量に応じてスケールを増減する機能があります。そのため、規模の大きいサイトのセキュリティやDDoS攻撃の対策としても使用可能です。これにより、ハードウェアのスペックや通信回線の許容量を気にせずに運用することができます。

また、wafには「導入・運用のコストパフォーマンスが良い」特徴があります。wafはクラウドサービスであるため、ハード・ソフトウェアやインフラなどの準備を事前に行う必要がありません。そのため、導入には一切コストがかかりません。

また、wafは従量課金制で、設定しているルールの数やリクエスト数に応じて利用料がかかっていきます。利用している分だけ料金を支払う仕組みとなっているため、運用にかかるコストも大幅に抑えることが可能です。wafは「素早く使えてメンテナンスも簡単」です。

wafは、CloudFrontかALB上でオンオフを切り替えるだけで利用することができます。そのため、それ以外に必要なものがなく、素早くて簡単な導入が可能です。また、wafの設定変更は数分で反映されるため、急な事態にも素早く対応できるようになっています。

wafには「APIを使ってセキュリティを自動化できる」機能があります。APIは「アプリケーションプログラミングインターフェース」の略称です。そして、APIには「ソフトウェアの機能を共有・連携できる」機能があります。

これによって、wafの設定・ルールを外部情報と連携することができ、素早い対応が可能になります。具体的には、通信ログの分析情報をもとにAPIを連携させることで、自動でwafのルールを最適化することが可能です。

したがって、APIとwafを組み合わせることで最適なクラウド運用を自動で行うシステムを作れるようになるのです。

wafを導入するには?

wafの導入手順は、「awsアカウントの作成・ログイン」「ウェブアクセスコントロールリスト(ウェブACL)の作成」「ルールに条件追加」の3手順です。まずは、awsのアカウントを作成します。awsのアカウント作成画面に行って、案内に従って情報入力をすれば簡単に作成できるでしょう。

アカウントを作成したらログインし、awsマネジメントコンソールまで進みます。次は、ウェブACLの作成です。ウェブACLとは、通信内容に応じてその通信を許可するかどうかを定義したリストのことです。awsマネジメントコンソール画面に進み、「Web ACLs(ウェブACL)」を選び、その中で「Create web ACL(ウェブACLを作成)」を選択しましょう。

選択したら、案内に従って情報を入力し、そのあと作成ボタンを押すとウェブACLが作られます。最後に、作成したウェブACLに細かい条件を追加する微調整の段階です。ウェブACL内では、通信の内容や通信相手、文字列などさまざまな条件を基準に通信を制御しています。

したがって、許可する通信・しない通信の条件を細かく定義していきましょう。定義し終えたら、そのウェブACLを適応して完了です。

セキュリティに気を遣うことは信頼につながる!

クラウドサービスの運用でセキュリティに気を遣うことで得をする人がいます。それは、サービスの「運用者」と「利用者」です。セキュリティが強ければ、問題が起きなくなり運用が楽になります。サービスに問題がなければ、利用者は安心してサービスを利用できます。

セキュリティとは、信頼です。信頼されるサービスを運用するために、セキュリティは第一に考えるようにしてみてください。