いわさです。
AWS WAF で Web ACL を構成する際、AWS によってルールが構成済みの「マネージドルール」を使うことが出来ます。
このマネージドルール、一部のものはバージョンの概念があり、利用者側がどのバージョンを使うのか指定することが出来ます。
すべてのマネージドルールがバージョンをサポートしているわけではないのですが、先日のアップデートで以下のマネージドルールが新たにバージョンをサポートしました。
- Account creation fraud prevention
- Account takeover prevention
- Bot Control
これらのルールは通常の AWS WAF 利用料金に加えて追加料金が発生する高度な機能ですが、ルールの内部的な変更に伴って誤検出などが発生する可能性もあるため、バージョン管理出来るのはなかなかありがたい気がします。
設定方法
よく使うであろうコアルールセットはバージョンをサポートしており、次のように設定時にバージョンを指定することが出来ます。
最新バージョンは 1.12 で、デフォルトバージョンは 1.10 ですね。
デフォルトバージョンは必ずしも最新バージョンではなく、ルール提供者の推奨バージョンを指します。
また SNS トピックが公開されており、ルールが更新された際などに通知を受けることが可能です。
今回新たにバージョン指定出来るようになったマネージドルールを確認してみましょう。
Paid rule groups にある次の 3 つのルールです。
3 つのマネージドルールいずれも本日時点では次のようにバージョン 1.0 のみが提供されている状態でした。
また、更新通知用の SNS トピックについては 3 つともコアルールなどと同じトピックだったので、既に受信されている方は今後は Bot Control などの更新情報も受信しそうですね。
公式ドキュメントにはどのバージョンを使うべきかについてのベストプラクティスが紹介されています。
デフォルトバージョンを選択する場合は更新される前に最新ルールで問題が生じないか評価すること、バージョンを個別に指定する場合は出来る限り最新バージョンに保つことやルールの有効期限に注意することなどが記載されています。
いずれの場合も通知を受信することが望ましいので AWS WAF の運用を行う際にはこのルール変更の通知を受信・運用する点を考える必要がありますね。
なお、本日私が確認したところ、AWS マネージドルールでバージョンをサポートしていないものは後は Amazon IP reputation list、Anonymous IP list の 2 つでした。
さいごに
本日は AWS WAF のマネージドルール Bot Control や ACFP、ATP でもバージョン指定出来るようになったので設定してみました。
本日時点ではまだバージョン 1.0 のみしか存在しませんが、今後バージョンが増えていくことが予想されます。
デフォルトバージョンと静的バージョンのどちらを設定するべきか検討し、ベストプラクティスを参考に適切に運用されるようにしておきましょう。
2
