[アップデート] AWS WAF の Rate-based ルールが100リクエストから指定可能になりました

AWS WAF にうれしいアップデートが来ました！

これまで Rate-based ルールは5分間で2000リクエストが最小しきい値でしたが、本日のアップデートにより5分間で100リクエストから指定可能になりました！

• Lower Threshold for AWS WAF Rate-based Rules

なにが嬉しいのか

従来は「5分間で2000リクエスト」が下限でしたので、それなりのリクエスト数がない場合は Rate-based ルールはハマらないケースがありました。また Rate-based ルールを回避するような、ゆったりとしたブルートフォースアタックも Rate-based ルールで防ぐことが出来ませんでしたが、こういった環境にも適用が可能となります。

その他の用途としては、攻撃的なアクセスの防御だけではなく、例えばユーザごとの API 使用制限なども Rate-based ルールで設定しやすくなります。

確認してみる

実際に WAF の管理コンソールで確認してみましょう。

[AWS WAF] - [Rules] - [Create rule] でメニューを開き、[Rule type] で Rate-based rule を選択します。

上記画面のとおり、[Rate limit] に 100 を入力しても警告画面が出ないため設定可能であることが確認できましたね。

ちなみに、指定できない値を入力した場合は、以下のような画面になります。

さいごに

Rate-based ルールが発表された当時

「おぉ！えぇやん！！」

「・・・ん？」

「5分で2000リクエストからしか指定できないなのか。。ウチの用途にはハマらんな。。」

と、肩を落とした方も居られるのではないでしょうか？本日から多くの環境で利用できるケースが増えるかと思いますので、これを機に再検討してみてはいかがでしょうか？

以上！大阪オフィスの丸毛（@marumo1981）でした！