WAFコンソールがアップデートされたので触ってみた

はじめに

AWS WAFのUIが大幅に変わっていたので触ってみました。
変わっているのは以前から知ってはいたのですが、従来のコンソールもそのまま利用できていたのでそちらを使い続けていました。
昔のコンソールが使えるなら使い続けるって人、ほかにも結構いるのではないでしょうか。
たださすがにそろそろ古いコンソールが利用できなるのではと思い新コンソールにチャレンジすることにしました。

概要

さっそく新しいコンソールを開いてみました。
こちらです。

ちなみに古いコンソールがこちら。

比べるまでもなくかなり変わっているのがわかるのではないでしょうか。
新しいコンソールでは、WEB ACLsから保護パックという名前に変わっています。
違いについてAWSドキュメントで確認をしましたが、「保護パック (ウェブ ACL) を使用すると、コンソールでのウェブ ACL の使用と管理が容易になりますが、機能的にはウェブ ACL と変わりません。」とのことなので基本的には同じような扱いをして問題ないかと思います。
とはいえ、管理やAWS WAFの構成がやりやすくなったのは事実ですので保護パックについて確認してみたいと思います。

手順

まずは保護パックを作ってみます。
画面右下の「保護パック（ウェブACL）を作成」をクリックします。

保護パックで保護したいリソースがどのようなアプリケーションを動かすのか選択していきます。

こちらはアプリカテゴリの内容ですが、ご覧のように複数選択することができます。

続いて保護するリソースを選択します。

まだリソースがない場合や後で設定したい場合はスキップすることもできますが、「リソースを追加」から保護リソースの追加ができます。

保護リソースの設定が終わったらルールの設定を行います。
画面下部に想定費用がでてくるので参考にしてください。
一番右側にある、独自のパックを構築は手動でルールの追加を行っていくものです。
今までのWEB ACLsにイメージが近いかもしれません。

真ん中、および左側のルールセットはAWSが提供しているマネージドルールなどを自動的に組み込んでくれます。
先に選んだアプリケーションの種類によって適用されるルールが多少変わるようです。

重要ルールの部分に「レイヤー7 DDoS攻撃対策」というものが入っていますが、20USDの請求が発生するルールのためお気を付けください。
これについては別でブログを一本書くのでそちらで詳しく解説していきます。

画面左側の推奨されるルールについては、画面真ん中の重要なルールが内包されています。
ちょっとわかりにくいですが費用が高くなっていますのでお気を付けください。

また、オプションではありますがRatelimitや地理的制限、ルールの挙動についても作成時に設定が可能です。
作成後でも変更ができますのでひとまずデフォルトでも問題ないとは思いますが、せっかくのWAFなのでログだけは有効化することをお勧めします。

実際に保護パックを作ってみました。

「詳細を管理」からはWCUのキャパシティやデフォルトアクションの挙動を確認できました。
デフォルトでは許可設定になっていますが、Blockに変更することも可能です。

「ルールを管理」からは保護パックに含まれているWAFルールが確認できます。
旧コンソールでいうところのACLsとルールの関係でしょうか。
ルールの順序やCount/Blockの変更も可能なのでこちらで確認をしてみてください。
※いきなりBlockモードで実装するのではなく、Countモードで様子を見てからBlockに切り替えるのが一般的です。

ちなみに地理的制限ではこれらの国からのアクセスがデフォルトでBlockになっていました。

「リソースの管理」からはWAFに紐づける（紐づけている）リソースの確認をすることができます。
リソースの関連付けの削除などもこちらから行います。
「リソースレベルの DDoS 保護」という項目がありますが、これは最近アップデートで追加された項目です。
ALBに対して提供されており、保護パック（ないしACL）を有効化すると自動的に有効化されます。
デフォルトではDDoS下でアクティブというモードになっています。
ドキュメントによれば高負荷時のみなどに保護が有効化されるとのことで、AWSの推奨値にもなっているため基本的にはこのモードでいいと思います。

試しに何のルールも含まれていない保護パックを作成し、ALBに紐づけてみましたが特にルールが生成されるようなことはありませんでした。
ドキュメントを見る限りではIPレピュテーションを利用した保護になっているようですが、詳細は開示されていませんでした。

まとめ

いろいろと触ってみたのですが、UIやコンソールの変更にとどまらずサービス自体のアップデートがかなりされていると感じました。
個人的にはv2のようにサービスのバージョンが変わったくらいのインパクトがあります。
紹介した以外にも視認性が高いダッシュボードなども用意されており、これまで実装のハードルが高かったAWS WAFへの道筋が建てられているように感じました。

コンソールのボタンをポチポチ押していくだけでもAWS推奨ルールでWAFの実装が可能になるため、かなりいいアップデートだと感じています。
攻撃が多い昨今だからこそ、皆さんに使ってもらえればと思いました。

AWS・クラウドのMSP スカイアーチネットワークス株式会社

AWS・クラウド導入における構築から監視・運用保守までをマネージドサービスで提供する、スカイアーチネットワークスの公式サイト。AWS・クラウドを始め、豊富なサーバー管理の経験と安心のセキュリティ対策、専門エンジニアの確かな知識で、お客様のビジネスの成長をサポートします。AWS・クラウド導入における構築から監視・運用保守までをマネージドサービスで提供する、スカイアーチネットワークスの公式サイト。AWS・クラウドを始め、豊富なサーバー管理の経験と安心のセキュリティ対策、専門エンジニアの確かな知識で、お客様のビジネスの成長をサポートします。