リニューアル後のWafCharmでCredentialとWAF Configを登録してみた
2024.09.27こんにちは、コンサル部@大阪オフィスのTodaです。
サイバーセキュリティクラウド社が提供する WafCharm はAWS WAFやAzure WAF、Google Cloud ArmorなどパブリッククラウドWAFと呼ばれるサービスのルール運用を最適化するサービスになります。
2024年08月に管理画面を「WafCharmコンソール」として新しくリニューアルされており、今回はCredentialとWAFの登録方法についてご案内させていただきます。
※下記内容は AWS WAFを想定して記載をいたします。
■ 前回の記事
WafCharm(ワフチャーム)とは?
WafCharm(ワフチャーム)は、クラウドWAFの自動運用サービスです。
WAFのログをもとに新たに発見した攻撃や新規脆弱性に対応するルール(シグネチャ)をWafCharmが自動的に作成・更新するので、クラウドWAFとセットで利用することで専任のセキュリティエンジニアを必要とすることなくWAFの運用を円滑に行うことができるようになります。
■ WafCharm(ワフチャーム)
今回の試してみた
今回は「Credential」と「WAF Config」の登録操作を試してみます。
WafCharmを利用してWAFを管理いただく際、2点の登録は必要な操作になります。
上記2点の操作をおこなうことでAWS WAFにWafCharmのルールが追加されて保守管理が自動化されるようになります。
UIも使いやすい形に変わっているとのことでしたので確認をしてみます。
登録時の前提条件
検証環境のAWSアカウントにはWafCharmの利用がない状態であらかじめALBやWAF、S3へのログの記録設定ができている状態から登録操作を実施いたします。
WafCharmは契約をおこない、コンソール画面が表示される状態にしております。
Credential Store とは?
Credential StoreはWafCharmとAWSのWAFを連携する為に利用する AssumeRole用のIAM RoleやIAM Userのアクセスキー(非推奨)を管理するための機能になります。
クレデンシャル情報を登録することで対象のAWS IDで管理しているAWS WAFをWafCharmに登録する事ができます。
Credential Store を登録してみる
クレデンシャルの登録
WafCharmの画面にて左メニューから[Credential]を選択します。
新規登録のメニューから「IAM Roleを新規作成して登録する」の[登録]をクリックします。
登録画面には事前確認に事項が表示されますので作成されるIAM Roleの権限について確認をおこないます。
問題なければ[次のステップへ]をクリックします。
CloudFormationの生成
CloudFormationのテンプレート生成画面が表示されますので下記項目をご入力いただき[テンプレートを生成]をクリックします。
- AWS Account ID
- 作成するIAM Role名 (任意の名前指定)
URLが発行されましたらリンクをコピーして当ブラウザ画面は置いた状態にします。
AWSマネジメントコンソールの操作
ブラウザの別タブを開いてコピーをしたURLでアクセスをおこないCloudFormationの画面を表示します。
スタック名などは運用に合わせて変更いただき、IAMリソース作成に関する承認のチェックをいれていただき[スタックの作成]をクリックします。
スタックの作成が完了してステータスが「CREATE_COMPLETE」になる事を確認します。
登録の検証
スタックの作成が完了したらWafCharmの画面に戻り、先ほど取得したリンクしたの[検証]をクリックしてIAM Roleが正常に作成出来ているかを確認します。
クリック時に「検証OK」の表示が出たら確認が完了になります。
確認が出来たら画面下の[次のステップへ]をクリックします。
登録の完了
Credential Storeの表示名を入力して[設定完了]をクリックします。
当操作にて登録操作が完了になります。
登録が完了するとCredential Storeの一覧に先ほど作成したクレデンシャルの情報が表示されます。
WAF Config とは?
WafCharmに登録をしているWAFを管理するための機能になります。
WAFの登録やルールの設定、ログ・アラートの設定は当機能の中で設定をおこないます。
WafCharmをご利用頂く場合は AWS WAFをご登録頂くことでWAFルールの中にWafCharm用のルールが自動的に登録されます。
今回は、新プランでご利用いただける「Advancedルール」にて登録をおこないます。
WAF Config を登録してみる
WAFの登録
WafCharmの画面にて左メニューから[WAF]を選択します。
一覧の上部にある[新規登録]をクリックします。
Web ACL選択
WAFを登録する際に利用するクレデンシャルのとリージョンを指定します。
[Web ACL取得]をクリックする事でWAFの情報が一覧で表示されます。
WafCharmで管理をしたいWAFを選択して画面下の[次のステップへ]をクリックします。
基本設定
基本設定にて「Advanced」「Legacy」どちらのルールを利用するかを指定します。
今回は下記内容にて設定をおこないます。
- WAF Config名 : 任意名
- Ruleポリシー : Advanced
- Credential Store : 登録したクレデンシャル
ルールの設定
WafCharmではサービスで提供されるWAFの保護と別で、管理者側でGEO / Ratebase / Bot / 正規表現など独自の保護ルールを追加設定できます。
独自に設定ができるルールは別のブログ記事でご紹介いたしますので、今回はWafCharmの保護ルールを適用したいと思います。
画面下の[次のステップへ]をクリックします。
ログ・通知設定
WafCharmではAWS WAFで記録しているログ情報を利用してIP Denyリストの動的更新やログ検索機能などを利用することができます。
今回利用している WAFはログの記録をしているため追加設定をおこないます。
WAFログ連携設定を有効にして、注意事項に該当しないかを確認してチェックをします。
設定後、画面下の[次のステップへ]をクリックします。
確認と登録
確認の画面が表示されますので入力内容に問題がない事を確認いただき、画面下の[登録する]をクリックします。当操作にてWAFの登録作業が完了になります。
登録が完了するとWAF Configの一覧に先ほど作成したWAFの情報が表示されます。
■ WAF Config 一覧
■ WAF Config 詳細
AWS WAFのルールを確認
AWS WAFのルール設定を確認したところ WafCharmのルールが4点追加されています。
上記簡易な手順にてWafCharmの設定が完了し、保護が開始されていることがわかります。
さいごに
今回は WafCharmのリニューアルにあたり、CredentialとWAF Configを登録する操作を試してみました。
利用してみた印象ですが、大変登録操作がしやすく迷う点がないという印象を受けました。
UI周りを大きくアップデートして利用者様が使いやすいようにしていると聞いていましたのでまさにその通りだなと思いました。
今回の操作ではWafCharmを利用したセキュリティ保護の設定は何もいれていない状態でございます。
次回はWafCharmを利用してセキュリティ保護に関する設定に関してご案内させていただきます。
少しでもお客様の参考になればと考えております。
