AWSマネージドルールのバージョンがデフォルトの場合の挙動を教えてください
困っていた内容
WAFに導入しているマネージドルール(AWSManagedRulesBotControlRuleSet)を確認したところ、バージョンが「デフォルト(Version_1.0を使用)」となっていました、デフォルトの意味は、Version1.0を使用している状態であり、最新のバージョンが適用されている状態ではない認識で合っておりますでしょうか
回答
デフォルトバージョンとは
デフォルトバージョンはプロバイダーが現在推奨しているルールグループのバージョンとなります。AWS マネージドグループルールの場合、複数の静的バージョンをリリース後にデフォルトバージョンが変更されることがあり、常に最新バージョンがデフォルトになるとは限りません。
実際の環境確認
対象の Web ACL に設定されているルールグループ AWSManagedRulesBotControlRuleSetでは、「Version: Default (Version_1.0を使用)」が選択されているので、デフォルトバージョン、つまりプロバイダーが現在推奨している静的バージョンが適用されている状態です。
この場合、AWS がこのルールグループに対するデフォルトバージョンを変更した後は、自動的に新しいデフォルトバージョンが使用されることが期待されます。
明示的に指定
「Default」の代わりに、明示的に「Version_1.0」を指定することで、自動更新せず Version 1.0 を固定的にご利用いただくことも可能です。
一方、このバージョンの期限が切れた場合には、デフォルトバージョンが使用されるよう自動的に変更されますこと、ご留意ください。
参考資料
[1] AWS マネージドルールのデフォルトバージョンのデプロイ - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
新しい静的バージョンによるルールグループの保護が現在のデフォルトと比較して改善されていると AWS が判断する場合、AWS は、デフォルトバージョンを新しい静的バージョンに更新します。AWS は、その静的バージョンをルールグループのデフォルトバージョンに昇格させる前に、複数の静的バージョンをリリースする可能性があります。
デフォルトバージョン – AWS WAF は、常にデフォルトバージョンをプロバイダーが現在推奨している静的バージョンに設定します。推奨される静的バージョンをプロバイダーが更新すると、AWS WAF は、保護パック (ウェブ ACL) のルールグループのデフォルトバージョンの設定を自動的に更新します。
[3] マネージドルールグループのバージョンの有効期限 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
マネージドルールグループの有効期限の処理は、ルールグループプロバイダーによって異なります。AWS マネージドルールのルールグループの場合、期限切れになったバージョンはルールグループのデフォルトバージョンに自動的に変更されます。
