【目次】
-
1. はじめに
AWS WAFとCloudflareについて、比較していきます。両方ともWebアプリケーションをセキュリティ攻撃から防御できるのツールですが、それぞれどのような点が優れているのか、詳しく記載していきます。
-
a) AWS WAFとは
AWS WAFとは、クラウドサービスで世界シェアNo.1のAWSが提供するWeb Application Firewallです。主に、Webアプリケーションへの攻撃からWebサイトを保護するために用いられるツールです。OSI参照モデルでいうと第7層(アプリケーション層)を防御するために必要なツールです。AWS WAFは以下のような特徴があります。
- 安い
ほかのWAF製品は初期費用だけでも数百万円かかる場合がありますが、AWS WAFは初期費用がなく、ランニングコストも月20ドル程度と、非常に安いという特徴があります。
- 導入が簡単
セキュリティの知識を持っていれば、数クリックでセットアップが可能です。また、セキュリティの知識がなくても、AWS WAF向けにセキュリティ専門のベンダーが「マネージドルール」という防御用のルールを販売しています。この「マネージドルール」も非常に安価で利用することができます。
- 安い
-
b) Cloudflareとは
CloudflareはCloudflare社が提供しているCDN(Content Delivery Network)サービスです。CDNとは、Webアプリケーションで表示する画像や文章を世界中にキャッシュ(=一時保存)しておくサービスのことです。
-
c) CDNとは
Cloudflareのいいところを説明する前に、CDNがどのようなサービスなのかを解説します。通常はWebアプリケーションの画像やファイルはWebサーバに保存しておいて、それを見たいユーザーがアクセスしたときにWebサーバから配信されます。これには問題点が2点存在します。
- 世界中にサーバを置いておかないと場所によっては反応が遅い
例えば日本のWebサーバにブラジルの人がアクセスする場合、少なくとも地球半周分のネットワークを経由して通信が行われます。その分Web画面の表示が遅くなってしまいます。そのため、Webサーバを世界中に配置しないと、利用する場所によってはWebアプリケーションの反応が非常に悪くなってしまうのです。
- Webサーバがダウンした際に画面などが見れなくなる
Webサーバに画像やファイルを配置しておいた場合、Webサーバが障害などでダウンしてしまったらWebアプリケーションは一切使うことができなくなります。また、DDos攻撃などの標的にされた場合も同様にWebアプリケーションが使用不可になることがあります。
CDNのサービスを利用すれば、Webアプリケーションで利用する画像やファイルを一時的に保存しておけるので、上記のような問題点を解消することができます。また、直接ユーザーがWebサーバと通信をしないので、DDos攻撃やWebサイト改ざん攻撃などの被害にあうことはほとんどありません。有名なCDNのサービスとしてはAWS CloudFront、Akamaiなどが存在します。
- 世界中にサーバを置いておかないと場所によっては反応が遅い
-
d) Cloudflareのいいところ
では、Cloudflareのいいところを見ていきましょう。
- 安い
CloudflareのプランはFree,Pro,Business,Enterprizeの4種類あり、Freeプランであれば機能がかなり制限されますが無料で使うことができます。また、Proも月20ドル、Businessも月200ドルと、破格の値段で使用することができます。
- ある程度のカスタマイズが可能
Cloudflareにはプランによっては、WAFを利用できたり、負荷分散サービスを利用できたりします。この場合に使用できるWAFはAWS WAFほどカスタマイズはできませんが、ある程度のセキュリティ攻撃などには十分に耐えることができます。
- 安い
-
-
2. AWS WAF vs Cloudflare
AWS WAFとCloudflareについて、それぞれどのようなサービスなのかを記載しましたが、それぞれの具体的な比較やどちらを使えばいいのか、詳しく記載していきます。
-
a) それぞれの比較
AWS WAFとCloudflareについて、それぞれどのような違いがあるのか、項目別で詳しく記載していきます。
AWS WAF Cloudflare どういうサービスか WAF。CDNとしての機能はAWS CloudFrontが持っているため、合わせて使用する必要がある。 CDN。WAFの機能はプランによって利用可能。 値段 非常に安い 非常に安い 導入速度 早い。最速で数十秒の操作で導入が可能。 ドメイン名を用意しておけばいいので、数分~数日で導入が完了する。 カスタマイズ AWS WAF単体で様々なカスタマイズが可能。また、AWS CloudFrontやAWS ShiledなどのAWSサービスを組み合わせて機能を追加することも可能。 追加オプションや上位のプランで機能追加等が可能。ただし、AWS WAFほどの詳細なカスタマイズはできない。 防げるセキュリティ攻撃 アプリケーション層に対する攻撃のみ。追加でAWS Shield等を利用すればDDos攻撃を防御できる。 DDos攻撃を防御する。追加でWAFの機能を利用すればアプリケーション層に対する攻撃を防御できる。 -
b) AWS WAFが向いている構成
AWS WAFが向いている構成は、以下のような構成であるといえます。
- AWS上で構成されたシステム
AWS WAFはAWS上で利用できます。AWSではセキュリティ関連のサービスが2019年12月段階で16サービス選択可能です。これらのサービスとAWS WAFを組み合わせることで、Cloudflareが提供している機能と同等以上の機能を持たせることができます。
- セキュリティレベルをカスタマイズする必要がある場合
AWS WAFは攻撃を防御するためのルールについて細やかなカスタマイズが可能です。例えば、クレジットカード会社のシステムなど、より強力なセキュリティレベルを要求される場合はAWS WAFを利用することを考えましょう。
- AWS上で構成されたシステム
-
c) Cloudflareが向いている構成
Cloudflareが向いている構成は、以下のような構成であるといえます。
- オンプレミス環境でWebアプリケーションを構築している場合
オンプレミス環境でWebアプリケーションを構築している場合は、DDos攻撃対策やアプリケーションへの攻撃に対する対策のための費用が高額になる場合がほとんどです。Cloudflareを利用すれば、機能は制限されますが安く導入できます。
- 安価にサービスを世界中に展開したい場合
AWSなどのクラウドではなくオンプレミスでWebアプリケーションを構築・提供していて、世界中に展開したい場合はCloudflareを利用するといいでしょう。世界各地でデータセンターを契約するよりも圧倒的に早く、そして安くアプリケーションの世界展開が可能です。
- オンプレミス環境でWebアプリケーションを構築している場合
-
-
3. まとめ
AWS WAFもCloudflareも非常に安いサービスで、機能も豊富です。AWSに構築しており、高度なセキュリティのレベルを確保したいのであればAWS WAFを利用してみましょう。オンプレミスでWebアプリケーションを構築している場合はCloudflareを検討するといいでしょう。