2019-10-05 AWS WAF AWS Security, Identity & Compliance AWS Black Belt Online Seminar 2017 AWS WAF from Amazon Web Services Japan www.slideshare.net 概要 オートスケール DevOpsと相性がいい WAFだけでは防御は完璧ではない WAFの一般的なユースケース SQL Injection(SQLi)、Cross Site Scripting(XSS)対策 Webクローラー、スクレイピングなどのBOT対策 DDoS緩和 Count effects 正常なリクエストがブロックされていないか確認する サンプルをモニタリングしながら、ルールごとにリクエストがマッチしたか確認が可能 COUNTで確認し、誤検知がないことを確認してからBLOCKに変更 AWS WAFの制限 AWSアカウントあたりのウェブACL:50 AWSアカウントあたりのルール:100 疑問点 どの辺がDevOpsと相性がいいのか