AWS WAF ClassicのMarketplaceマネージドルールがどの程度AWS WAF v2に対応しているのか調べてみた
2025.01.11しばたです。
昨年9月にAWS WAF Classic (v1)のサービス終了が案内され現行バージョンであるAWS WAF v2への移行が必要となっています。
AWS WAF ClassicはAWSが独自のマネージドルールを提供する前のバージョンであり、このためAWS Marketplaceから提供される各種セキュリティベンダーのマネージドルールを利用している方も多いのではないでしょうか。
AWS WAF ClassicとAWS WAF v2はそれぞれ独立しておりAWS Marketplace提供のマネージドルールにバージョン間の互換性が無い場合があります。
そして互換性がある場合でもそれぞれ個別にサブスクライブする必要があります。
本記事ではマネジメントコンソールから確認できるMarketplaceマネージドルールのAWS WAF v2対応状況を調べてみました。
はじめに (注意事項)
AWS Marketplaceマネージドルールの対応一覧
早速ですがMarketplaceマネージドルールのAWS WAF v2対応状況を一覧表の形式で紹介します。
対応するマネージドルールがある場合はそのWCUの値も併記しています。
結果としては一部のMarketplaceマネージドルールだけがAWS WAF v2に対応してる形となっています。
そしてサイバーセキュリティクラウド社とFortinet社の一部ルールに関してはAWS WAF v2用の後継製品が提供される形です。
補足 : AWS WAF v2専用Marketplaceマネージドルールの一覧
続けてAWS WAF v2のみ対応しているMarketplaceマネージドルールの一覧を紹介します。
こちらはAWS WAF Classicと別ベンダーの製品に切り替える際の参考にしてください。
所感
ここからは各ベンダーの対応状況に対する所感を述べていきます。
Cyber Security Cloud
サイバーセキュリティクラウド社のマネージドルールはAWS WAF Classicの後継となるAWS WAF v2ルールが存在するのでシンプルに移行可能でしょう。
この他にAWS WAF v2用にAPIサーバー向けのマネージドルールCyber Security Cloud Managed Rules for AWS WAF -API Gateway/Serverless-が追加されているので保護対象がAPIサーバーの場合はこちらに切り替える選択肢もあります。
サイバーセキュリティクラウド社ではマネージドルールの他にWafCharmといった独自サービスも提供しており、公式ブログでAWS WAF ClassicからAWS WAF v2への移行手順を案内していますので参考にしてください。
F5
F5のマネージドルールは同一Marketplace製品でAWS WAF v2に対応しており、基本的にはそのまま移行可能でしょう。
ただし、同一製品であっても展開されるルールがAWS WAF Classicとまったく同じである保証は無いので移行に際し事前検証は必須かと思います。
Fortinet
Fortinetのマネージドルールは幾つかのルールにおいて後継となる製品が存在しません。
こちらについてはAWSが提供するマネージドルールか他社の類似マネージドルールに切り替えると良さそうです。
AWS提供のマネージドルールを使う場合は以下のルールグループがマッチしそうです。
- Fortinet Managed Rules for AWS WAF - Malicious Bots
- → AWS WAF Bot Controlを採用して代替
- Fortinet Managed Rules for AWS WAF - SQLi/XSS
- Fortinet Managed Rules for AWS WAF - General and Known Exploits
- → AWSManagedRulesCommonRuleSet を中心にして保護対象に応じたマネージドルールを適切に採用して代替
Imperva
ImpervaのマネージドルールはIPレピュテーションに関するものだけ同一製品が存在するのでこちらはそのまま移行できるでしょう。
WordPress保護のルールについては後継が無いため、AWSマネージドのAWSManagedRulesWordPressRuleSetに切り替えると良さそうです。
TrustWave
TrustWave社のルールは一切後継製品がありませんでした。
これらのルールはModSecurityのバーチャルパッチを提供するとのことなのですが、ModSecurity自体が今年に入りOWASP Foundationに移管されておりTrustWave社としての提供も終了しています。
- Trustwave Transfers ModSecurity Custodianship to OWASP
- Fare Thee Well ModSecurity: End-of-Life and Last Commercial Rules Update for June 2024
AWS WAF ClassicにおいてもマネジメントコンソールやAWS Marketplaceに情報はあるものの、本日時点で実際に利用可能な状態なのかは正直怪しい感じです...
このためTrustWave社のルールを採用している(していた?)AWS WAF Classic環境はすべてAWS提供のマネージドルールを使う形にWAF全体を再設計しなおすか、他社製品の利用に切り替えるしかなさそうです。
[AWS WAF v2のみ] Cloudbric
Cloudbricのマネージドルールは一般的なユースケースおけるルールが一通り揃っている印象です。
AWS WAF Classicからベンダーを切り替える場合はその候補になりそうです。
日本語の製品ページがあったのでリンクを貼っておきます。
[AWS WAF v2のみ] GeoGuard
GeoGuard社のマネージドルールは料金体系が異なる2種ありますが製品としては同一の様です。
以下のドキュメントに詳細が記載されていたので気になる方はご一読ください。
基本的にIP Setsを使ったブロックリスト群の様なので採用する場合は他のマネージドルールとの併用を検討すると良いでしょう。
[AWS WAF v2のみ] ThreatSTOP
ThreatSTOP社のマネージドルールは消費WCUが非常に少ないものばかりで特定シナリオに特化したルール群の様です。
英語ですが製品ページがあったのでリンクを貼っておきます。
最後に
以上となります。
本記事ではMarketplaceマネージドルールの対応状況だけ調べましたがAWS WAF v2はAWS WAF Classicに比べて多くの新機能が増えています。
移行に際し単純にマネージドルールを切り替えて終わりにするのでは無く、WAFで保護すべき内容を改めて整理し環境自体を再設計しなおすことをお勧めします。
![[アップデート] AWS Amplify のファイアウォール(WAF)機能がついにプレビューで登場しました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-875a3d2bbdba43ad15684c9ee2e357b1/c77a61f7c646b6997c54cc55538ec251/aws-amplify)
