CloudFrontの統合セキュリティダッシュボードを試してみた

2023年11月10日、 Amazon CloudFront で利用する AWS WAFの一般的な設定や、稼働状態を把握できる 統合セキュリティダッシュボード (unified security dashboard) が利用可能になるアップデートがありました。

• Amazon CloudFront announces unified security dashboard
• Introducing CloudFront Security Dashboard, a Unified CDN and Security Experience

今回、新しく追加されたダッシュボードを試す機会がありましたので、紹介させていただきます。

統合セキュリティダッシュボード

CloudFront ディストリビューション設定、「セキュリティ」タブの機能がアップデートされました。

AWS WAF 設定

CloudFrontで利用する AWS WAF の設定が可能になりました。

• AWS WAF の有効化、ワンクリックセキュリティ保護が利用可能です。

• 保護を無効とする事で、ワンクリックセキュリティで作られたWAF設定は解除、ACLも削除されます。
• 作成済みの WAF ACLを指定して、既存の保護設定を流用する事も可能です。

保護モードの変更

ワンクリックセキュリティ設定時、モニターモードを指定していた場合、その解除が可能です。

• ワンクリックセキュリティで設定されたルールのアクション 「Override rule group action to count」が解除され、該当ルールによるブロックが有効になります。
• 再度モニターモードに戻す必要がある場合、WAF保護の無効化、再設定で ワンクリックセキュリティを再設定するか、 AWS WAFの設定画面を利用します。

トレンド表示

指定した時間帯に、処理されたリクエストの内訳が確認可能です。

• モニターモード(Countのみ)で WAFを通過したリクエストの件数は「Allow reqeust」に含まれるようでした。

ブロック実績の確認

ブロックを行ったマネージドルール、レートルールと、リクエスト元の国情報が確認できます。

AWS WAFのブロックを発動させるため、以下の検証コードをオレゴン、シンガポールのCloudShellで実行しました。

• AWSManagedRulesKnownBadInputsRuleSet

TEST_URL='https://####.cloudfront.net/search/'
for i in {0..3}
do
  curl ${TEST_URL} -o /dev/null -w '%{http_code}\n' -s
done

• レートルール

TEST_URL='https://####.cloudfront.net/search/'
for i in {0..1000}
do
  curl ${TEST_URL} -o /dev/null -w '%{http_code}\n' -s
done

Botリクエスト

ボットプロテクションのルールの設定有効化と、 ボットプロテクションを利用中、そのレポート情報を確認可能になりました。

特定カテゴリーに分類されたBotからのリクエスト対するアクション設定が可能です。 - 検索サイトのBotは許可を明示 - 広告関係と判定されたBotはブロックや、チャプターを求める

などの設定が、WAFの管理画面に遷移せず可能となりました。

WAFログ設定

CloudWatch Logs への WAFログ出力設定が可能になりました。

まとめ

CloudFrontで利用する AWS WAF、初期設定や 利用時に必要な情報の把握、統合セキュリティダッシュボードで簡単に実施する事が可能になりました。

なお、統合セキュリティダッシュボードで不足する、 AWS WAFの詳細設定、除外ルールの調整については、AWS WAFの管理画面。 WAFログな詳細な調査が必要な場合、従来どおり CloudWatch Logs Insight、Athena などのサービスをご活用ください。