こんにちは！
現在AWS認定セキュリティ試験の勉強中です。
今回は試験範囲の1つである インフラストラクチャのセキュリティ で出題される可能性があるサービスの特徴などをまとめていきたいと思います。
基本的にはNRIネットコム株式会社の「要点整理から攻略する『AWS認定 セキュリティ-専門知識』」という本を使って勉強しております。とてもわかりやすいのでおすすめです。

目次

• WAF
• AWS Shield
• Firewall Manager

WAF

webアプリケーションに対するリクエストの内容をチェックし攻撃のパターンに合致するリクエストをブロックするファイアウォールです。

WAFって何の略？

Web Application Firewallの略です。

通常のファイアウォールとは何が違うの？

通常のファイアウォールはIPアドレスやポート番号を見て通信を許可・拒否するのですが、WAFはクライアントからのリクエストの内容を見て通信の許可・拒否をします。

WAFを使うとCloudFrontやALB、API Gatewayの保護に利用することができます。

例えばCloudFrontとオリジンの間にWAFを導入しCloudFrontでカスタムヘッダーを設定、そしてそのカスタムヘッダーを持たないリクエストを拒否するようにWAFで設定すればより強固にオリジン（EC2など）を保護することができます。

図にするとこんな感じです

AWSではEC2として動作させるバーチャルアプライアンス型のWAFも提供されています。

バーチャルアプライアンスって

仮想化技術を用いて、特定用途のアプリケーションソフトが稼働する環境を即座に構成できるようにしたもののことです。

でも運用が面倒なので基本的には普通のWAFを使うと良い。細かい設定をしたい場合は、バーチャルアプライアンス型のWAFを使うことを検討すると良いです。

AWS Shield

DDos攻撃からシステムを守るためのサービスです。

DDos攻撃って？？

まずDとDos攻撃に分ける必要があります。Dos攻撃というのは1台のコンピュータを使って大量にアクセスし、サーバーに大きな負荷を与える攻撃です。そしてそれを複数のコンピュータを使ってすることをDDos攻撃と呼びます。

1文字目のDの意味は？？

1文字目のDはDistributedのDです。Distributedは 分散型の という意味です。

DDos攻撃って何て読むの？？

でぃーどすこうげき と読むそうです。ダサいですね

参考記事

AWS Shield StandardとAdvancedがあり、Standardは無料で自動的に適用されます。Advancedは有料ではありますが、より高レベルな保護を受けられます。もしDDoS攻撃を受けてEC2などがオートスケールしても、Advancedだった場合はその分の料金が返還されます。

AWS Shield AdvancedではEC2, ELB, CloudFront, Global Acceletor, Route53を対象としたより高度な攻撃検出機能を利用できる。

高度な攻撃検出機能って？？

アノマリー型検知が実現できます。

アノマリー型検知って何ですか？

正常なパターンを登録し、それに合わないデータがあれば検知する方法です。つまり例外を検知します。

Firewall Manager

WAF, Shield Advanced, VPC Security Groupのポリシーを一元管理するためのサービス。
あらかじめセキュリティルールを設定しておくことで新規に作成されたリソースやアプリケーションに自動的にルールを適用することができるようになります。

AWS Organizationsと統合されているので、複数のAWSアカウントに対してまとめて上記のルールを設定することができます。

Firewall Managerの設定に応じてConfigルールが自動生成され、存在するリソースが組織のセキュリティルールに従っているかを継続的に監視することが可能です。