AWS WAFマネージドルールの制限と最適な利用方法

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

re:Invent 2017で発表されたAWS WAFのマネージドルールですが、実利用の上で抑えておく必要性のある制限を確認しましたので共有いたします。

マネージドルールについては下記のブログを参照して下さい。

【新機能】AWS WAFマネージドルールを使ってWordPressに対する攻撃を防いでみた #reinvent

AWS WAFマネージドルールの制限

マネージドルールは各セキュリティベンダーから用途別にルールが提供されています。

場合によっては、複数のルールを組み合わせて利用したいと思う場合もあるかと思います。例えば、OWASP Top 10のルールとIPレピュテーションのルールといった感じです。

しかし残念ながら、AWS WAFマネージドルールは現状1つのWebACLには1つしか適用することができません

Limits

You can enable only one AWS Marketplace rule group. This rule group counts towards the 10 rule limit per web ACL. Therefore you can have one AWS Marketplace rule group and up to nine custom rules in a single web ACL.

AWS Marketplace Rule Groups - AWS WAF and AWS Shield Advanced

また、WebACLは全部で10個までルールを適用できますが、マネージドルールはそのうちの1つとしてカウントされます。

最適な利用方法についての考察

上記の制限によって、OWASP Top 10対策とIPレピュテーションをマネージドルール1つで補うことは難しくなりましたが、あまり気にしすぎる必要性はありません。

まず、マネージドルールの提供体型から考えると、各セキュリティベンダーが持っているWAFのノウハウを部分的に提供して、その分安いという割り切られたサービスであると考えられます。

セキュリティベンダーも自社のWAFやその他セキュリティ製品とぶつかるような提供方法は好みませんから、上手く住み分けできる提供体型だと思います。

選択肢ごとの比較表を作成してみました。

種類 メリット デメリット
AWS WAFカスタムルール
  • 非常に安い
  • きめ細かく設定できる
  • 全て自分で設定する必要がある
AWS WAFマネージドルール
  • 安い
  • セキュリティベンダーがルールを作成
  • セキュリティベンダーがルールをメンテナンス
  • 複数マネージドルールを組み合わせて利用できない
  • 内部のルール1個1個を個別に調整できない
  • サポートが米国
従来のマーケットプレイスのWAF
  • ルールや機能が豊富
  • BYOLにより日本でのサポートが可能(製品による)
  • 比較的高い
  • 構成がAWSに最適化できない場合がある

豊富な機能が必要な環境では、引き続き従来のWAF製品に軍配が上がると思います。

しかしながら、これまでWAFのカスタムルールを自分で作成していたところをセキュリティベンダーに任せ、ルールのアップデートも自動的に行なってもらえる所に最大のメリットがあると思います。

また、マネージドルールの中でも機能が分かれていて、例えばFortinetのルールがわかりやすいですがマネージドルールの中でも松竹梅あります。

参考: 【レポート】AWS WAFマネージドルールの概要について #reinvent #SID217

SQLインジェクション + XSS対策のみのルールから、OWASP Top 10用のてんこ盛りルールまであり、値段も$5 〜 $30/月となっています。

環境と費用感に合わせてルールを選択すれば問題ないです。

また、IPレピュテーションについてはセキュリティオートメーションなど別の仕組みでも対応が可能です。

まとめ

マネージドルールで1つのルールだけしか利用できないことは残念でもありますが、住み分けのことも考えるとちょうどいい提供方法であることがわかります。

環境の規模感・費用感に合わせて適切な方法を選択しましょう。

でも、今後マネージドルールが増えてくることを考えると、複数マネージドルールの組み合わせ利用は期待したいですね!