200-AWS SAP AWS 「理論・実践・一問道場」AWS Firewall Manager

type

status

date

slug

summary

理論

AWS WAF（Web Application Firewall）は、ウェブアプリケーションの脆弱性から保護するための強力なツールです。特に、OWASPトップ10に代表されるウェブアプリケーション脆弱性（例：SQLインジェクション、クロスサイトスクリプティング）に対する防御を提供します。これを効率的に管理・適用するために、以下のAWSのサービスが役立ちます。

AWS WAF: SQLインジェクションやクロスサイトスクリプティングなどの攻撃を防ぐためのカスタムルールを作成して、CloudFrontやApplication Load Balancerに適用します。

AWS Firewall Manager: 複数のAWSアカウントにまたがって、AWS WAFルールを一元的に設定・管理するためのサービスです。これにより、大規模な環境でも一貫したセキュリティポリシーを適用できます。

AWS Organizations: 複数のAWSアカウントを管理するためのサービスで、組織全体でセキュリティの設定を統一できます。これにより、AWS Firewall Managerを使用してセキュリティルールを全アカウントに展開できます。

HTTPSによる暗号化: CloudFrontでHTTPリクエストをHTTPSにリダイレクトすることで、データがインターネットを通じて安全に送信されるように暗号化します。

これらのサービスを組み合わせて使用することで、ウェブアプリケーションのセキュリティを強化し、OWASPトップ10の脆弱性に対する効果的な防御を提供できます。

実践

略

一問道場

問題 #199

トピック 1

ある企業が、AWS Organizationsを使用して数百のAWSアカウントを管理しています。ソリューションアーキテクトは、Open Web Application Security Project（OWASP）トップ10のウェブアプリケーション脆弱性に対して基本的な保護を提供するソリューションに取り組んでいます。ソリューションアーキテクトは、AWS WAFを使用して、組織内のすべての既存および新規のAmazon CloudFrontディストリビューションに保護を提供しています。

基本的な保護を提供するために、ソリューションアーキテクトが実行すべき手順の組み合わせはどれですか？（3つ選んでください。）

A. すべてのアカウントでAWS Configを有効にする

B. すべてのアカウントでAmazon GuardDutyを有効にする

C. 組織のすべての機能を有効にする

D. AWS Firewall Managerを使用して、すべてのアカウントでCloudFrontディストリビューションにAWS WAFルールをデプロイする

E. AWS Shield Advancedを使用して、すべてのアカウントでCloudFrontディストリビューションにAWS WAFルールをデプロイする

F. AWS Security Hubを使用して、すべてのアカウントでCloudFrontディストリビューションにAWS WAFルールをデプロイする

解説

CDE

以下は、OWASPトップ10のウェブアプリケーション脆弱性に対する基本的な保護を提供するための手順についての説明です：

組織のすべての機能を有効にする（オプションC）:

このステップは、AWS Organizationsで組織レベルの機能を有効にすることを指します。すべての機能を有効にすることで、AWS Firewall Managerを使って、複数のアカウントで一元的にセキュリティポリシーを管理できるようになります。これにより、AWS WAFルールを簡単に展開できます。

AWS Firewall Managerを使用して、すべてのアカウントでCloudFrontディストリビューションにAWS WAFルールをデプロイする（オプションD）:

AWS Firewall Managerを使用すると、AWS WAF（Web Application Firewall）ルールを複数のアカウントにわたって一元的に管理・展開できます。これにより、CloudFrontディストリビューションに対してOWASPトップ10に含まれるSQLインジェクションやクロスサイトスクリプティング（XSS）などの一般的なウェブ脆弱性に対する保護を提供できます。