AWS WAF にマネージドルールを適応したいのですが、どのルールを適応すれば良いか教えてください

AWSテクニカルサポートノート

#AWS WAF

#AWS

片方裕人

2024.06.02

困っていること

AWS WAF にマネージドルールを適応予定です。どのルールを適応すれば良いかわからないため、お勧めのマネージドルールがあれば教えてください。

どう対応すればいいの?

お客様のワークロードにより異なるため一概に言えず、網羅的なご案内は困難であることを予めご認識ください。
一方で、下記を参考にご検討いただければ幸いです。

マネージドルールではございませんが、AWS WAF のレートベースルールを利用し、同一の IP アドレスからの短時間の大量アクセスをブロックすることをご検討ください。レートベースのルールは、同一の IP アドレスからの 5 分間のアクセス数が閾値を超えた場合にブロックを行う機能となります。

レートベースのルールでは、受信リクエストをカウントし、レートが速すぎる場合にはリクエストを制限します。ルールは条件に従ってリクエストを集約し、ルールの評価ウィンドウ、リクエスト制限、アクション設定に基づいて集計されたグループをカウントし、レート制限します。

その他、マネージドルールやその他のルールを組み合わせてご利用いただくことが有効になり得ます。例えば下記のような観点で、悪意あるアクセスのブロックが可能です。

悪意のあるアプリ、ボット等からのリクエストに不正なデータが含まれていた場合にブロックするマネージドルールを選択する場合、AWS マネージドルールまたは AWS Marketplace からお客様の用途にあったものを選択いただくことが可能です。

例えば AWS マネージドルールであれば、汎用的な脅威に対応するコアルールセット + SQL データベースルール + PHP ルールなどを組み合わせることをご検討ください。特に、コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、OWASP Top 10 などの OWASP の出版物に記載されている、リスクが高く一般的に発生するいくつかの脆弱性を含む、さまざまな脆弱性の悪用に対する保護が提供されています。
AWS ではすべての AWS WAF ユースケースでこのルールグループを使用することを推奨しております。

コアルールセット (CRS) ルールグループには、ウェブアプリケーションに一般的に適用可能なルールが含まれています。これにより、OWASP Top 10 などの OWASP の出版物に記載されている、リスクが高く一般的に発生するいくつかの脆弱性を含む、さまざまな脆弱性の悪用に対する保護が提供されます。 AWS WAF どのようなユースケースにもこのルールグループを使用することを検討してください。

ボットやその他の脅威に関連付けられている IP アドレスをブロックする AWS マネージドルールの IP 評価ルールグループや AWS WAF Bot Control ルールグループをご利用いただくことで、ボットやその他の脅威に関連付けられている IP アドレスをブロックすることが可能です。

IP 評価ルールグループはソース IP アドレスに基づいてリクエストをブロックします。

Bot Control マネージドルールグループは、ボットからのリクエストを管理するルールを提供します。ボットは過剰なリソースを消費し、ビジネスメトリクスを歪め、ダウンタイムを引き起こし、悪意のあるアクティビティを実行する可能性があります。

サービスが日本国内に限定されている場合、日本以外からのアクセスをブロックする地理的一致ルールステートメントを併用いただくことで、特定の国以外からのアクセスをブロックすることが可能ですので、ワークロードに合わせてご検討くださいませ。

地理的または地理照合ステートメントを使用して、発信元の国や地域に基づいてウェブリクエストを管理します。地理的照合ステートメントは、ウェブリクエストに発信国や発信地域を示すラベルを追加します。これらのラベルは、ステートメントの条件がリクエストと一致するかどうかに関係なく追加されます。また、地理的照合ステートメントは、リクエストの発信国に対する一致も実行します。