[アップデート] Account Takeover Prevention や S3 へのログ出力など、AWS WAF の一部機能が AWS Firewall Manager のセキュリティポリシーでも利用出来るようになりました

いわさです。

AWS Firewall Manager を使うと、AWS Ogranizations 組織内で AWS WAF や Network Firewall などいくつかのセキュリティ設定を一元管理することが出来るようになります。
ただし、AWS WAF の機能の中には AWS Firewall Manager では設定出来ずに、個々のアカウントで個別に有効化したり設定をしなければいけない機能もあります。

その中のいくつかが今回のアップデートで Firewall Manager 上から一元管理出来る対象に追加されました。

今回出来るようになったのは以下です。

• Bot Control ルール内で検査レベル「Targeted」の使用
• Account Takeover Prevention マネージドルールの使用
• マネージドルール内のルールアクションのオーバーライド
• ログ出力先に S3 バケットを指定
• CAPTCHA, Challenge のタイムアウト設定オーバーライド
• トークンドメインリストの設定

実際に Firewall Manager のポリシー上で上記を設定してみたいと思います。

Bot Control ルール内で検査レベル「Targeted」の使用

Bot Control ルールグループでは「検査レベル(inspection level)」を設定することで標的型 Bot 攻撃からも防御することが出来る AWS WAF マネージドルールの機能です。
AWS WAF では 2022 年 11 月ごろに利用出来るようになっていました。

Firewall Manager のセキュリティポリシーでも Bot Control の有効化自体は従来から可能でしたが、inspection level も設定出来るようになりました。

Account Takeover Prevention マネージドルールの使用

AWS WAF の Account Takeover Prevention マネージドルールを使うと、盗まれた資格情報や拒否されたトークンが利用される場合などいくつかのログインアクティビティを検出しログインエンドポイントを保護することが出来る機能です。
AWS WAF では 2022 年 2 月ごろに利用出来るようになっていました。

Firewall Manager のセキュリティポリシーでは以前まで次のように Account Takeover Prevention 自体が選択出来ませんでした。

今回のアップデートで次のようにマネージドルールから選択出来るようになっています。

マネージドルール内のルールアクションのオーバーライド

マネージド ルール グループの場合、一部またはすべてのルールのルールアクションをオーバーライドすることが出来ます。
AWS WAF では 2022 年 11 月ごろに使えるようになった機能です。

Firewall Manager でマネージドルールを追加すると Edit ボタンで構成が必要ですが、その編集画面でルールアクションのオーバーライド設定が出来ます。

ログ出力先に S3 バケットを指定

AWS WAF では 2021 年 11 月ごろから S3 に直接ログ出力出来るようになっていました。

しかし、Firewall Manager についてはこれまでは Kinesis Data Firehose へのみログ出力先の指定が可能でした。
Kinesis Data Firehose へ出力することでマルチアカウントの AWS WAF のログを一元管理することが出来ていました。

今回のアップデートで Amazon S3 バケットでマルチアカウントの AWS WAF ログの一元管理構成を設定することが出来ます。
WebACL 自体を Firewall Manager 経由にする必要は当然ありますが、これは便利ですね。

また、このタイミングでログフィルターに新しく CAPTCHA、CHALLENGE、EXCLUDED AS COUNT も追加されています。

CAPTCHA, Challenge のタイムアウト設定オーバーライドとトークンドメインリストの設定

AWS WAF ではルールアクションとして CAPTCHA もしくは Challenge を使うことで Bot からのアクセスではないことを証明させる機能があります。

Firewall Manager では構成済みのセキュリティポリシーを編集することが、CAPTCHA および Challenge のタイムアウト時間をオーバーライドすることが出来るようになりました。
注意点として、どのアクションを行うかはルールにまかせており、ここでオーバーライド出来るのはタイムアウト時間のみです。

セキュリティポリシーの編集からそれぞれの構成編集ボタンから設定が可能です。
また、次のトークンドメインリストについても Firewall Manager 上で管理することが出来るようになっています。

デプロイされたアカウント上で WebACL のタイムアウト時間やトークンドメインリストを確認してみると、次のようにオーバーライドされていることが確認出来ます。

さいごに

本日は Account Takeover Prevention や S3 ログ出力などの AWS WAF の機能が AWS Firewall Manager で一元管理出来るようにアップデートされたので確認してみました。

こうして見てみると、AWS WAF でアップデートされた最新機能がようやく Firewall Manager でも使えるようになった感じですね。
AWS WAF で実装されてから半年 ~ 1 年くらいで Firewall Manager でも使えるようになっているという、なんとなく傾向が見えました。
今後 AWS WAF で新しい機能が登場した時も、少し待てば Firewall Manager でも使えるようなる可能性は高そうです。