こんにちは。お疲れ様です。

2/8にOWASP Nagoya Chapter ミーティング 第９回に行ってきたのでその備忘録です。

仕事終わってナディアパークへ。
勘違いしてオフィスフロアの方のエレベータに乗りかけたのはひみつ。
(エレベータ乗り込んで、あれ？6階が無い…。ってなった…。)

そして参加者が少ないから…と、今回は無料でした。
むしろ参加者が少ないのであれば、参加費はちゃんと取ったほうが良いんじゃないかな？
なんて思ったりもした。(施設利用料とかもあるやろうし…。)

〇OWASP Top 10 2017 AWS WAF テンプレート について 〜 WordPressの場合 〜
・AWSで使う場合は「AWS WAF and Shield」で探す。
・ルールセットはテンプレートでも自分で作っても。
・テンプレートは有償のマネージドテンプレートと無償の非マネージドの2種類
　→マネージドの場合はテンプレートのアップデートとかは自動更新。
　　非マネージドの場合は自分で対応する必要あり。
・owaspからの無償のテンプレートが提供されている。
・利用時はS3バゲット、クラウドフォーメーションも必須。
　CDNかELBに紐づけて使う。(API Gatewayでも可)
・Cloud Watchで監視可
・初期設定ではすべての設定がBlockになっているので、必要に応じてAllowに変更すること。
・WAFのフィルタリージョンを選択する必要あり

・Owasp Top10 AWS WAFテンプレート
　→スタートキットであり、個々人でのカスタマイズが必要。
　　(ルールエンジンとかと同じでそんなもんやよね...と思いながら聞いてた。)
　　テンプレートのyamlファイルをそのまま見るよりも読み込んでGUIで確認した方がわかりやすい。

・メリット
　・初期設定が簡単。route53のエイリアスが使える
　　→WAFテンプレートではなくて、AWS WAFのメリット…。
　・ルール、条件等のカスタマイズが簡単。
　　→EC2インスタンスの再起動無しで即時反映
　・安い
　・マネージドルールを1つ購入して、同じAWSアカウントで使いまわし(共有)が可能。

・デメリット
　・非マネージドの場合はアップデート等々を自分で確認して対応する必要あり
　・マネージドの場合でも内容を理解している必要はある。

〇「OWASP Top 10(2017) Serverlessでの解釈」
暫定的なレポートであり、コメントを求む旨の記載あり。
内容的にAWSがメイン。
サーバレスに特化した脆弱性は主に5つ。

基本的に対策方法が大きく変わるわけではない。
ただし入り口は確実に広がる印象。