AWS WAF でカスタムルールグループを作成し、挙動を確認しつつログを CloudWatch Logs で確認した

コーヒーが好きな emi です。

AWS WAF をしっかり触ったことがなかったのと、WAF のログがどんな感じで出力されるのか確認したかったので、検証してみました。 AWS WAF でカスタムルールグループを作成し、挙動を確認しつつログを CloudWatch Logs で確認していきます。

構成図

今回の検証の構成図は以下のようなイメージです。

なぜ検証でカスタムルールグループを作成するのか？

AWS WAF ではデフォルトでそのまま使えるマネージドルールグループが提供されています。「Anonymous IP list（匿名 IP リスト）」や「Core rule set（コアルールセット）」、「Known bad inputs（既知の悪意のある入力）」などのマネージドルールグループを使うことで、セキュリティの専門知識がなくても、一般的な Web 脅威から素早く手軽にアプリケーションを保護できるというメリットがあります。

一方で、「アクセスが想定通り block される、count される」などの挙動を確認するには、マネージドルールグループのルールに引っ掛けるために匿名通信をおこなうソフトウェアを導入したり、既知の不正な入力をおこなったりする必要があります。これはサッと済ませたい PoC や技術検証には不向きです。

手軽に WAF の挙動を確認をおこなうために、例えば特定の IP アドレスからの通信をブロックするなどのカスタムルールをカスタムルールグループに追加することで、手軽に WAF の挙動確認を行うことができるというわけです。

事前準備

VPC、EC2、ALB の作成は以下トグル内を参考に事前におこなっておいてください。

# パッケージを最新バージョンに更新
sudo yum update -y
# Apache HTTP Server のインストール
sudo yum install httpd -y
# Apacheの起動
sudo systemctl start httpd
# EC2が再起動した際にApacheも自動起動するように設定
sudo systemctl enable httpd
# Apacheが起動したか確認
sudo systemctl status httpd
# HTML ファイルの格納場所へ移動
cd /var/www/html
# トップページ用ファイル（index.html）作成
sudo touch index.html
# index.html が作成されているか確認
ls 
# HTMLファイルの中身を記述
sudo vi index.html
# i を押下し編集モード（INSERT）に移行し、以下内容を貼り付け
<html lang="ja">
 <head>
  <meta charset="utf-8">
  <title>waf-test-hello-world</title>
 </head>
   <body>
    <h1>Hello world!</h1>
   </body>
</html>
# esc を押下し編集モードを終了する
# :wq を入力して Enter でファイルを保存して終了
# ファイルが変更されているか確認
cat index.html

AWS WAF の作成

事前準備ができたら AWS WAF を作成していきます。AWS WAF は

IP Sets
↓
カスタムルールグループとカスタムルール
↓
Web ACL

の順番で作成していきます。

IP Sets の作成

まず IP Sets を作成します。

WAF & Shield コンソールに遷移し、[IP Sets] - [Create IP Set] をクリックします。

IP Set の名前と説明、リージョンを入力します。
IP アドレスは末尾に「/32」をつけるなど CIDR フォーマットで入力してください。今回は 1 つしか入力しませんでしたが、複数 IP を登録する場合は 1 つの IP ごとに改行して入力してください。最後に「Create IP Set」をクリックします。

IP Sets が作成できました。

カスタムルールグループとカスタムルールの作成

続いてカスタムルールグループとカスタムルールを作成していきます。

[Rule groups] - [Create rule group] をクリックします。

ルールグループの名前と説明とリージョンを指定します。CloudWatch metric name は自動で入力されます。「Next」をクリックします。

「add rule」をクリックします。

今回はこのままビジュアルエディタで設定します。ルール名を入力し、タイプは「Regular rule」を選択します。

今回は以下のような複合ルールを設定しました。パス「/」宛てに、IP Sets に登録された IP からの通信が来た場合、

Block します、というルールです。

設定できたら「Add rule」をクリックします。

追加したルールの capacity は 3 になっていました。簡易なステートメントが一つだけだと capacity：1 になったりするのですが、今回は二つのステートメントを条件文でつなげたので 3 になったようです。

ルールグループの capacity は下段で設定します。ルールグループに含まれるルール全体の capacity より大きければ良いので、今回はバッファを持たせて 10 にしてみました。

ルールグループの capacity を設定する用途としては、複雑なルールを作り過ぎて capacity が Web ACL キャパシティーユニット（WCU）の許容量（1500 から有料、上限は 5000 まで）を超えないようにするためのもののようです。 設定できたら「Next」をクリックします。

次はルールの優先度（priority）を設定する画面です。ルールを複数設定した場合はここでアクセスを評価するルールの優先度を設定するのですが、今回は 1 つしかルールを設定しないので、このまま「Next」をクリックします。

最後に確認画面が表示されますので、設定値を確認して「Create rule group」をクリックします。

カスタムルールグループとカスタムルールが作成できました。

Web ACL の作成

最後に Web ACL を作成します。

AWS WAF を構築する ≒ WebACL を構築する、と思っていただいていいと思います。WebACLは AWS WAF における一番外枠のコンポーネントです。
「AWS WAF を ALB に紐づける ≒ WebACL を ALB に紐づける」です。

[Web ACLs] - [Create web ACL] をクリックします。

今回 ALB に WAF を紐づけるので、Resource type は Regional resources を選択します。CloudFront に紐づけたい場合は Amazon CloudFront distributions を選択してください。
リージョン、Web ACL の名前、説明を入力します。CloudWatch metric name は Web ACL の名前を入力すると自動で入力されます。

Associated AWS resources では「Add AWS resources」をクリックし、作成しておいた ALB を追加してください。ALB にチェックを付けたら「Next」をクリックします。

[Add rules] - [Add my own rules and rule groups] をクリックします。

Rule Type で Rule Group を選択すると、作成しておいたカスタムルールグループを設定できます。ここで設定するルールグループの名前は、Web ACL から見える名前になります。実際のルールグループの名前とは別のものを設定していただいても結構です。
今回はオーバーライド（Override rule group action）の設定はしません。「Add rule」をクリックします。

作成済みのカスタムルールグループを追加できました。

「Default web ACL action for requests that don't match any rules」では、どのルールにもマッチしなかった通信は最終的に何のアクションとするか設定します。
今回は Allow にして「Next」をクリックします。

ルールグループの優先度を設定します。今回は 1 つしかルールグループを設定しないので、このまま「Next」をクリックします。

Amazon CloudWatch metrics 使用すると、Web リクエスト、Web ACL、ルールを監視できるのでこのままチェックしておきます。

Request sampling options を有効にしておくと、Web ACL ルールに一致するリクエストを表示することができます。これも Enable sampling request にチェックしておきましょう。「Next」をクリックします。

確認画面です。設定値をチェックして、最後に「Create web ACL」をクリックします。

ログの有効化

Web ACL ができたらログを有効化します。作成した Web ACL の詳細を開き、「Logging and metrics」タブで Logging を確認します。今のままではログが無効になっているので、「Enable」をクリックして有効化しつつ、ログの設定をしていきます。

ログの保存場所を設定します。以下 3 種類の中からログの保存場所を選べます。

• CloudWatch Logs
• Amazon Data Firehose stream
• S3 bucket

マネジメントコンソールからログをサクッと確認したいので、今回は CloudWatch Logs にします。ログを保存するロググループを作成するため、「Create new」をクリックします。

ブラウザの別タブで CloudWatch Logs の作成画面が開きます。WAF のログ保存用ロググループは「aws-waf-logs-」で始まる必要がありますので、名前を付ける際は注意してください。

ロググループ名、保持期間、ログクラスを設定したら、「作成」をクリックします。

ロググループができました。

WAF の画面に戻ります。ログ保存場所として作成したロググループを選択します。
ログを取得する際、count のみ、block のみなどのフィルタリングもできるのですが、今回は WAF を通過するすべての通信を取得してみましょう。Filter logs は何も設定せず、「Save」をクリックします。

ログの設定ができました。

CloudWatch Logs Insights からの確認

さて、WAF が設定できましたので、ちゃんとブロックさるか試してみましょう。IP Set に登録した IP アドレスから ALB の DNS 宛にブラウザから接続しようとすると、以下のように 403 Forbbiden となりました。しっかり WAF がブロックしてくれています。

何回かブラウザからアクセスを繰り返し、ログを溜めたら、CloudWatch Logs Insights からログを確認してみましょう。

CloudWatch コンソールで「ログのインサイト」をクリックします。

クエリは以下のように、action を含めてみました。時間を指定してクエリを実行すると、画像のようにアクセスがあった回数分ログが出力されており、それが Block なのか Allow なのかなどのアクションが分かります。

fields @timestamp, action, @message, @log
| sort @timestamp desc
| limit 1000

ログの詳細を開くとたくさんの情報が含まれています。

ご参考に 1 つ、Block のログ情報を以下に転記します。@message フィールドのみとても長いので、表の下部に別で貼り付けています。

| @message | {"timestamp":1710227322507,"formatVersion":1,"webaclId":"arn:aws:wafv2:ap-northeast-1:123456789012:regional/webacl/test-waf-webacl/69040105-54c5-4f80-b59c-xxxxxxxxxxxx","terminatingRuleId":"test-rule-group","terminatingRuleType":"GROUP","action":"BLOCK","terminatingRuleMatchDetails":\[\],"httpSourceName":"ALB","httpSourceId":"123456789012-app/test-alb/93f4662cf108d565","ruleGroupList":\[{"ruleGroupId":"arn:aws:wafv2:ap-northeast-1:123456789012:regional/rulegroup/test-rule-group/3bc5642d-7998-4f5c-9e89-xxxxxxxxxxxx","terminatingRule":{"ruleId":"test-rule","action":"BLOCK","ruleMatchDetails":null},"nonTerminatingMatchingRules":\[\],"excludedRules":null,"customerConfig":null}\],"rateBasedRuleList":\[\],"nonTerminatingMatchingRules":\[\],"requestHeadersInserted":null,"responseCodeSent":null,"httpRequest":{"clientIp":"xx.xx.xx.xx","country":"JP","headers":\[{"name":"Accept-Language","value":"ja,en;q=0.9,en-GB;q=0.8,en-US;q=0.7"},{"name":"Connection","value":"keep-alive"},{"name":"Cache-Control","value":"max-age=0"},{"name":"Upgrade-Insecure-Requests","value":"1"},{"name":"User-Agent","value":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 Edg/122.0.0.0"},{"name":"Accept","value":"text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,\*/\*;q=0.8,application/signed-exchange;v=b3;q=0.7"},{"name":"Accept-Encoding","value":"gzip, deflate"},{"name":"Host","value":"test-alb-xxxxxxxxx.ap-northeast-1.elb.amazonaws.com"}\],"uri":"/","args":"","httpVersion":"HTTP/1.1","httpMethod":"GET","requestId":"1-65efff7a-2520b1803dc0824d7c67a2b5"}} |

@logStream から該当のログストリームを表示すると、JSON 形式でログを表示することもできます。生の JSON ログも貼っておきます。

{
    "timestamp": 1710227322507,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-northeast-1:123456789012:regional/webacl/test-waf-webacl/xxxxxxxxxx",
    "terminatingRuleId": "test-rule-group",
    "terminatingRuleType": "GROUP",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "ALB",
    "httpSourceId": "123456789012-app/test-alb/xxxxxxxxxx",
    "ruleGroupList": [
        {
            "ruleGroupId": "arn:aws:wafv2:ap-northeast-1:123456789012:regional/rulegroup/test-rule-group/xxxxxxxxxx",
            "terminatingRule": {
                "ruleId": "test-rule",
                "action": "BLOCK",
                "ruleMatchDetails": null
            },
            "nonTerminatingMatchingRules": [],
            "excludedRules": null,
            "customerConfig": null
        }
    ],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "104.28.206.35",
        "country": "JP",
        "headers": [
            {
                "name": "Accept-Language",
                "value": "ja,en;q=0.9,en-GB;q=0.8,en-US;q=0.7"
            },
            {
                "name": "Connection",
                "value": "keep-alive"
            },
            {
                "name": "Cache-Control",
                "value": "max-age=0"
            },
            {
                "name": "Upgrade-Insecure-Requests",
                "value": "1"
            },
            {
                "name": "User-Agent",
                "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 Edg/122.0.0.0"
            },
            {
                "name": "Accept",
                "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7"
            },
            {
                "name": "Accept-Encoding",
                "value": "gzip, deflate"
            },
            {
                "name": "Host",
                "value": "test-alb-xxxxxxxxxx.ap-northeast-1.elb.amazonaws.com"
            }
        ],
        "uri": "/",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "1-65efff7a-2520b1803dc0824d7c67a2b5"
    }
}

終わりに

AWS WAF を作成し、ログがどのような形式で出力されるか確認してみました。どなたかのお役に立てば幸いです。