こんにちは。お疲れ様です。
2/8にOWASP Nagoya Chapter ミーティング 第9回に行ってきたのでその備忘録です。
仕事終わってナディアパークへ。
勘違いしてオフィスフロアの方のエレベータに乗りかけたのはひみつ。
(エレベータ乗り込んで、あれ?6階が無い…。ってなった…。)
そして参加者が少ないから…と、今回は無料でした。
むしろ参加者が少ないのであれば、参加費はちゃんと取ったほうが良いんじゃないかな?
なんて思ったりもした。(施設利用料とかもあるやろうし…。)
〇OWASP Top 10 2017 AWS WAF テンプレート について 〜 WordPressの場合 〜
・AWSで使う場合は「AWS WAF and Shield」で探す。
・ルールセットはテンプレートでも自分で作っても。
・テンプレートは有償のマネージドテンプレートと無償の非マネージドの2種類
→マネージドの場合はテンプレートのアップデートとかは自動更新。
非マネージドの場合は自分で対応する必要あり。
・owaspからの無償のテンプレートが提供されている。
・利用時はS3バゲット、クラウドフォーメーションも必須。
CDNかELBに紐づけて使う。(API Gatewayでも可)
・Cloud Watchで監視可
・初期設定ではすべての設定がBlockになっているので、必要に応じてAllowに変更すること。
・WAFのフィルタリージョンを選択する必要あり
・Owasp Top10 AWS WAFテンプレート
→スタートキットであり、個々人でのカスタマイズが必要。
(ルールエンジンとかと同じでそんなもんやよね...と思いながら聞いてた。)
テンプレートのyamlファイルをそのまま見るよりも読み込んでGUIで確認した方がわかりやすい。
・メリット
・初期設定が簡単。route53のエイリアスが使える
→WAFテンプレートではなくて、AWS WAFのメリット…。
・ルール、条件等のカスタマイズが簡単。
→EC2インスタンスの再起動無しで即時反映
・安い
・マネージドルールを1つ購入して、同じAWSアカウントで使いまわし(共有)が可能。
・デメリット
・非マネージドの場合はアップデート等々を自分で確認して対応する必要あり
・マネージドの場合でも内容を理解している必要はある。
〇「OWASP Top 10(2017) Serverlessでの解釈」
暫定的なレポートであり、コメントを求む旨の記載あり。
内容的にAWSがメイン。
サーバレスに特化した脆弱性は主に5つ。
基本的に対策方法が大きく変わるわけではない。
ただし入り口は確実に広がる印象。
2/8にOWASP Nagoya Chapter ミーティング 第9回に行ってきたのでその備忘録です。
仕事終わってナディアパークへ。
勘違いしてオフィスフロアの方のエレベータに乗りかけたのはひみつ。
(エレベータ乗り込んで、あれ?6階が無い…。ってなった…。)
そして参加者が少ないから…と、今回は無料でした。
むしろ参加者が少ないのであれば、参加費はちゃんと取ったほうが良いんじゃないかな?
なんて思ったりもした。(施設利用料とかもあるやろうし…。)
〇OWASP Top 10 2017 AWS WAF テンプレート について 〜 WordPressの場合 〜
・AWSで使う場合は「AWS WAF and Shield」で探す。
・ルールセットはテンプレートでも自分で作っても。
・テンプレートは有償のマネージドテンプレートと無償の非マネージドの2種類
→マネージドの場合はテンプレートのアップデートとかは自動更新。
非マネージドの場合は自分で対応する必要あり。
・owaspからの無償のテンプレートが提供されている。
・利用時はS3バゲット、クラウドフォーメーションも必須。
CDNかELBに紐づけて使う。(API Gatewayでも可)
・Cloud Watchで監視可
・初期設定ではすべての設定がBlockになっているので、必要に応じてAllowに変更すること。
・WAFのフィルタリージョンを選択する必要あり
・Owasp Top10 AWS WAFテンプレート
→スタートキットであり、個々人でのカスタマイズが必要。
(ルールエンジンとかと同じでそんなもんやよね...と思いながら聞いてた。)
テンプレートのyamlファイルをそのまま見るよりも読み込んでGUIで確認した方がわかりやすい。
・メリット
・初期設定が簡単。route53のエイリアスが使える
→WAFテンプレートではなくて、AWS WAFのメリット…。
・ルール、条件等のカスタマイズが簡単。
→EC2インスタンスの再起動無しで即時反映
・安い
・マネージドルールを1つ購入して、同じAWSアカウントで使いまわし(共有)が可能。
・デメリット
・非マネージドの場合はアップデート等々を自分で確認して対応する必要あり
・マネージドの場合でも内容を理解している必要はある。
〇「OWASP Top 10(2017) Serverlessでの解釈」
暫定的なレポートであり、コメントを求む旨の記載あり。
内容的にAWSがメイン。
サーバレスに特化した脆弱性は主に5つ。
基本的に対策方法が大きく変わるわけではない。
ただし入り口は確実に広がる印象。
コメント