こんにちは。お疲れ様です。

2/8にOWASP Nagoya Chapter ミーティング 第9回に行ってきたのでその備忘録です。

仕事終わってナディアパークへ。
勘違いしてオフィスフロアの方のエレベータに乗りかけたのはひみつ。
(エレベータ乗り込んで、あれ?6階が無い…。ってなった…。)

そして参加者が少ないから…と、今回は無料でした。
むしろ参加者が少ないのであれば、参加費はちゃんと取ったほうが良いんじゃないかな?
なんて思ったりもした。(施設利用料とかもあるやろうし…。)

〇OWASP Top 10 2017 AWS WAF テンプレート について 〜 WordPressの場合 〜
・AWSで使う場合は「AWS WAF and Shield」で探す。
・ルールセットはテンプレートでも自分で作っても。
・テンプレートは有償のマネージドテンプレートと無償の非マネージドの2種類
 →マネージドの場合はテンプレートのアップデートとかは自動更新。
  非マネージドの場合は自分で対応する必要あり。
・owaspからの無償のテンプレートが提供されている。
・利用時はS3バゲット、クラウドフォーメーションも必須。
 CDNかELBに紐づけて使う。(API Gatewayでも可)
・Cloud Watchで監視可
・初期設定ではすべての設定がBlockになっているので、必要に応じてAllowに変更すること。
・WAFのフィルタリージョンを選択する必要あり

・Owasp Top10 AWS WAFテンプレート
 →スタートキットであり、個々人でのカスタマイズが必要。
  (ルールエンジンとかと同じでそんなもんやよね...と思いながら聞いてた。)
  テンプレートのyamlファイルをそのまま見るよりも読み込んでGUIで確認した方がわかりやすい。

・メリット
 ・初期設定が簡単。route53のエイリアスが使える
  →WAFテンプレートではなくて、AWS WAFのメリット…。
 ・ルール、条件等のカスタマイズが簡単。
  →EC2インスタンスの再起動無しで即時反映
 ・安い
 ・マネージドルールを1つ購入して、同じAWSアカウントで使いまわし(共有)が可能。

・デメリット
 ・非マネージドの場合はアップデート等々を自分で確認して対応する必要あり
 ・マネージドの場合でも内容を理解している必要はある。

〇「OWASP Top 10(2017) Serverlessでの解釈」
暫定的なレポートであり、コメントを求む旨の記載あり。
内容的にAWSがメイン。
サーバレスに特化した脆弱性は主に5つ。

基本的に対策方法が大きく変わるわけではない。
ただし入り口は確実に広がる印象。

IMG_20190208_183512