AWS re:Inforce 2025が開催され、セキュリティサービスのアップデートがたくさん発表されました。
今回は、AWS WAFのコンソールが更新されたことでルール適用手順やダッシュボードの可視性が向上したので、検証してみました。
アップデート概要
「eコマースプラットフォーム」や「トランザクション処理アプリケーション」などのアプリケーションの種類を選択するだけで、特定のユースケースに合わせて最適化された保護ルールが自動的に適用される
統合ダッシュボードには、統合されたセキュリティメトリクス、脅威検出、ルールパフォーマンスデータが提供され、潜在的な脅威を迅速に特定でる
レート制限、地理的制限、IPレピュテーションフィルタリングなどの主要なセキュリティコントロールは、直感的な単一ページインターフェースからカスタマイズでき、設定時間を短縮できる
従来のAWS WAF
従来のAWS WAFの画面は以下の通りです。
これまでは、IP setsでホワイトリストやブラックリストの入れ物を作り、Web ACLでIP Setsやマネージドルールを選択し、優先度を設定していくという手順を時間をかけて実施する必要がありました。
新しいAWS WAF
こちらが新しいAWS WAFの画面です。
サイドパネルの項目が大幅に削減され、スッキリとした印象です。
機能が減ったわけではなく、より見やすくなりました。
従来の画面に切り替えたい場合は、サイドパネルの一番下にある切り替えボタンから切り替え可能です。
ルールセットの組み合わせは「保護パック」という名前になっています。
保護パックを追加
まずは、アプリカテゴリとトラフィックソース(API or ウェブ)を選択します。
アプリカテゴリは以下の6種類です。
次にWAFを適用するリソースを選択します。
すると、ルールセットが提案されるので、この中から選択します。
推定コストを出してくれるのも嬉しいポイントです。
他のパターンだとどうなるか見てみましょう。
先ほどは、「コンテンツおよび公開システム」と「APIとウェブの両方」でしたが、「ウェブ」に変更してみます。
すると、「Bot Control保護」と「レイヤー7DDoS攻撃対策」がカウントモードからデフォルトになりました。
デフォルトの挙動はルールによって異なるようです。
他のパターンとして、「eコマースおよび取引プラットフォーム」と「APIとウェブの両方」にしてみます。
「重要」の方に、「既知の不良入力保護」と「PHPアプリケーション保護」が追加されています。
今回は、「コンテンツおよび公開システム」と「APIとウェブの両方」にし、「重要」を選択しました。
しばらくすると、保護パックが作成されました。
ダッシュボードの確認
保護パックに登録されているカスタムルールやマネージドルールの数が一目でわかります。
右にはキャパシティがどれだけ消費されているかが表示され、こちらも分かりやすくなっています。
ルールの詳細を見ると、各ルールが適用される順番と、キャパシティ、どれがカウントモードか確認できます。
カスタムルールを1つ確認してみると、アクションや詳細なロジックが確認できます。
こちらはマネージドルールの例です。
ログの記録を設定することも可能です。
保護パックのダッシュボードを確認してみます。
ここでは、ルールの検知状況が確認できます。
このリングは、2週間分の許可されたトラフィックパターンを分析し、潜在的な脆弱性をプロアクティブに特定する機能です。
以下の重要なトラフィックについて、通過したものの統計を出し、ルール修正のヒントにできます。
ALLOWやBLOCKの統計も確認できます。
こちらの画面では、メトリクスを可視化できます。
例えば、トラフィックがどの国から来ているかを、地図上で確認できます。
もちろんサンプルリクエストも確認できます。
まとめ
WAFのセットアップが数分程度でできるようになりました。
また、可視性も向上したためトラフィックの分析もしやすくなりました。
従来のAWS WAFを触ったことがあれば、この利便性向上を感じることができるので、ぜひ活用していきましょう。
