AWS Managed Rule のアップデート予告(2021年10月)がありました

AWS WAFの主要マネージドルールのバージョンアップが10月6日より実施される予告がありました。必要に応じルールバージョンの固定設定をお試しください。
2021.10.06

AWSチームのすずきです。

AWS WAFルールとして追加ライセンス費用なく利用できる AWS Managed Rule 、バージョンアップの予告がありましたので、紹介させていただきます。

通知内容

2021年10月6日から2週間の間に、マネージドルールの新バージョンが順次リリースされるとの事でした。

We will be releasing a new version of the AWS Managed Rules (AMR) for AWS WAF. The new version will add label support for all AWS Managed Rules rule groups that don't already have labeling. This release doesn't include any rule signature changes. Starting next week, October 6, 2021, we will begin rolling out this new version. The rollout will be completed over a period of two weeks, with changes deployed incrementally across each Region. You will receive a final notification when this new version is available globally. If you use the default version of an AMR rule group, AWS WAF will automatically update you to the latest version. If you use a static version of a rule group, you can update the version to adopt these changes.

DeepL翻訳

AWS WAF用のAWS Managed Rules (AMR)の新バージョンをリリースします。新バージョンでは、まだラベリングを持たないすべてのAWS Managed Rulesのルールグループにラベルのサポートが追加されます。このリリースには、ルールシグネチャの変更は含まれていません。来週、2021年10月6日から、この新バージョンのロールアウトを開始します。このロールアウトは2週間かけて完了し、変更点は各リージョンに段階的に展開されます。この新バージョンが全世界で利用可能になった時点で、最終的な通知をお送りします。AMRルールグループのデフォルトバージョンを使用している場合は、AWS WAFが自動的に最新バージョンにアップデートします。ルールグループの静的バージョンを使用している場合は、バージョンを更新してこれらの変更を採用することができます。

対象マネージドルール

  • AWSManagedRulesCommonRuleSet
  • AWSManagedRulesAdminProtectionRuleSet
  • AWSManagedRulesKnownBadInputsRuleSet
  • AWSManagedRulesLinuxRuleSet
  • AWSManagedRulesPHPRuleSet
  • AWSManagedRulesSQLiRuleSet
  • AWSManagedRulesUnixRuleSet
  • AWSManagedRulesWindowsRuleSet
  • AWSManagedRulesWordPressRuleSet

対応について

AWS Managed Rule を 利用して ブロックを行っているシステムでは、副作用回避のためバージョン指定を行う事をご検討ください。

バージョン指定

2021年3月、AWS WAFのマネージドルールの変更による影響を受けたシステムでは、早めの対応をおすすめします。

リリース後

マネージドルールの更新内容は、公式ドキュメントで確認が可能です。

AWS Managed Rules changelog

※2021年10月6日現在の最終更新は2021年5月4日付けですが、10月のリリースの完了後、当ページの内容も更新されると思われます。

必要に応じ検証環境での動作検証を行い、最新のマネージドルールを副作用なく利用できる目処がつきましたら、最新バージョンのルールをご利用ください。

アクセスログ記録

AWS WAF ルールの誤検知などに備え、AWS WAFのアクセスログ設定の見直しもおすすめします。

カウント利用の場合

Rule action、または Override rule group action で「Count」指定。 AWS WAF を IDS(不正通信検知システム)相当として利用している場合、バージョンは「Default」、最新のマネージドルールをご利用ください。

まとめ

2021年10月6日以降に予定されているマネージドルールのバージョンアップ、9/30に SNSトピック宛に通知が行われていました。

Getting notified of new versions and updates to a managed rule group

AWS WAFのマネージドルールを利用する場合、公式ドキュメントで案内されているSNSトピックの受信手続きを行う事をおすすめします。

  • arn:aws:sns:us-east-1:248400274283:aws-managed-waf-rule-notifications:e65f44fd-0ae2-4b82-9187-8d70ec90a812

CLI実行例

 aws --region us-east-1 sns subscribe \
   --topic-arn arn:aws:sns:us-east-1:248400274283:aws-managed-waf-rule-notifications \
   --protocol email \
   --notification-endpoint <通知先メールアドレス>