AWS Firewall Manager で AWS WAF マネージドルールのバージョンを指定する

2022.09.13

いわさです。

2022 年 2 月ごろから AWS Firewall Manager でも WAF マネージドルールのバージョンを指定出来るようになっています。
今回 AWS Firewall Manager で WAF マネージドルールを構成する際にバージョニング指定出来ることに気がついたのでこの機能について紹介します。

アップデート情報は以下になります。

WAF マネージドルールのバージョン

そもそも AWS WAF のマネージドルールにはバージョンの概念があります。
以下は AWS WAF の Web ACL 構成画面です。

マネージドルールはアップデートされることがありバージョンで管理されています。
Web ACL でバージョンを指定することで旧バージョンを使用したり、あるいはアップデート予告があった際に事前にバージョンを固定化しておくことで予期せぬ影響を受ける前にテストなどを行うなどの運用が出来るようになります。

AWS Firewall Manager でのバージョン指定方法

この Web ACL でのバージョン機能を Firewall Manager でも利用出来るようなった形です。
Firewall Manager では以下のような流れでマネージドルールを有効化してセキュリティポリシーを構成します。

対象マネージドルールグループのAdd to web ACLを有効化して、セキュリティポリシーに追加します。

その際にEnable versioningというトグルボタンが追加されていてバージョン指定が出来るようになっています。

Web ACL バージョンを選択した際の挙動については Firewall Manager の場合の特殊な要件はありません。
デフォルトを選択した場合は以下のように推奨バージョンが適用されます。

自動適用を回避する場合でもルールセットのアップデート通知を SNS で受信出来るので、アップデートされないまま脅威に対処出来ない状態で放置されてしまわないように気をつけましょう。
以下の記事の「ルールセットバージョンについて」もご確認ください。

Firewall Manager でのバージョン設定後はセキュリティポリシー側で対象バージョンが確認出来ます。

ただし、配布される OU 内のアカウント側では特にバージョン指定されているかどうかは確認出来ませんでした。

Bot Control や IP repluration list ではバージョン管理されていない

マネージドルールであればバージョン選択が出来るのですが、一部ルールはバージョン管理されていないものがあります。
Bot Control や IP repluration list が該当します。

それらは厳密には動的に更新されていて静的バージョンが指定出来ないようになっていて、デフォルトバージョンのみが指定出来ます。

対象はマネージドルールのみ

また、バージョン管理されているのはマネージドルールのみで独自のカスタムルールやベンダールールは対象外です。
このあたりも Web ACL と同じですね。

さいごに

本日は AWS Firewall Manager で AWS WAF マネージドルールのバージョンを指定する方法を紹介しました。

通常の Web ACL を利用する際と同様にデフォルト適用で推奨バージョンを適用するか、適用前に十分に評価を行うためにバージョンを固定化するかよくご検討ください。