AWS WAF を Amazon CloudFront と使い合わせる - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
AWS WAF がさまざまなディストリビューションタイプと連携する方法

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS WAF を Amazon CloudFront と使い合わせる

Amazon CloudFront 機能で AWS WAF を使用する方法について説明します。

保護パック (ウェブ ACL) を作成するときに、AWS WAF で検査する 1 つ以上の CloudFront ディストリビューションを指定できます。CloudFront は、個々のテナントを保護する標準ディストリビューションと、単一の共有設定テンプレートを使用して複数のテナントを保護するマルチテナントディストリビューションの 2 種類のディストリビューションをサポートしています。 AWS WAF は、保護パック (ウェブ ACL) で定義したルールに基づいて、両方のディストリビューションタイプのウェブリクエストを検査し、タイプごとに実装パターンが異なります。

トピック

AWS WAF がさまざまなディストリビューションタイプと連携する方法

ディストリビューションタイプ

AWS WAF は、標準およびマルチテナントディストリビューション CloudFront ディストリビューションの両方にウェブアプリケーションファイアウォール機能を提供します。

標準ディストリビューション

標準ディストリビューションの場合、AWS WAF はディストリビューションごとに 1 つの保護パック (ウェブ ACL) を使用して保護を追加します。この保護を有効にするには、既存の保護パック (ウェブ ACL) を CloudFront ディストリビューションに関連付けるか、CloudFront コンソールでワンクリック保護を使用します。これにより、保護パック (ウェブ ACL) を変更すると、それに関連付けられたディストリビューションにのみ影響するため、各ディストリビューションのセキュリティコントロールを個別に管理できます。

CloudFront ディストリビューションを保護するこの簡単な方法は、個々のドメインに単一の保護パック (ウェブ ACL) からの特定の保護を提供するのに最適です。

標準ディストリビューションに関する考慮事項

  • 保護パック (ウェブ ACL) の変更は、関連付けられたディストリビューションにのみ影響します

  • 各ディストリビューションには、独立した保護パック (ウェブ ACL) 設定が必要です

  • ルールとルールグループはディストリビューションごとに個別に管理されます

マルチテナントディストリビューション

マルチテナントディストリビューションの場合、AWS WAF は単一の保護パック (ウェブ ACL) を使用して複数のドメインに保護を追加します。マルチテナントディストリビューションによって管理されるドメインは、ディストリビューションテナントと呼ばれます。マルチテナントディストリビューション AWS WAF 保護は、マルチテナントディストリビューションの作成プロセス中または作成後に、CloudFront コンソールでのみ有効にできます。ただし、保護パック (ウェブ ACL) への変更は、引き続き AWS WAF コンソールまたは API を通じて管理されます。

マルチテナントディストリビューションは、次の 2 つのレベルで AWS WAF 保護を可能にする柔軟性を提供します。

  • マルチテナントディストリビューションレベル – 関連付けられた保護パック (ウェブ ACL) は、そのディストリビューションを共有するすべてのアプリケーションに適用されるベースラインセキュリティコントロールを提供します

  • ディストリビューションテナントレベル – マルチテナントディストリビューション内の個々のテナントは、追加のセキュリティコントロールを実装したり、マルチテナントディストリビューション設定をオーバーライドしたりするために、独自の保護パック (ウェブ ACL) を持つことができます

これらの 2 つの階層により、マルチテナントディストリビューションは、個々のディストリビューションのセキュリティをカスタマイズする機能を失うことなく、複数のドメイン間で AWS WAF 保護を共有するのに最適です。

マルチテナントディストリビューションに関する考慮事項

  • 個々のディストリビューションテナントは、関連するマルチテナントディストリビューションに関連付けられている保護パック (ウェブ ACL) に加えられた変更を継承します

  • 特定のディストリビューションテナントに関連付けられた保護パック (ウェブ ACL) は、マルチテナント保護パック (ウェブ ACL) レベルで設定された設定をオーバーライドできます

  • マネージドルールグループは、ディストリビューションテナントレベルとディストリビューションテナントレベルの両方で実装できます

  • アプリケーション識別子をログに保存して、ディストリビューション別にセキュリティイベントを追跡できます

ディストリビューションタイプ別の AWS WAF 機能

保護パック (ウェブ ACL) の実装を比較する
AWS WAF の機能 標準ディストリビューション マルチテナントディストリビューション
保護パック (ウェブ ACL) の関連付け ディストリビューションごとに 1 つの保護パック (ウェブ ACL) オプションでテナント固有の保護パック (ウェブ ACL) を使用して、テナント間で保護パック (ウェブ ACL) を共有できます
ルールの管理 ルールが 1 つのディストリビューションに影響する マルチテナントディストリビューションルールは、関連付けられたすべてのテナントに影響します。ディストリビューションテナント固有のルールは、そのテナントにのみ影響します
マネージドルールグループ 個々のディストリビューションに適用 すべてのテナントにマルチテナントディストリビューションレベルで、または特定のアプリケーションにテナントレベルで適用できます
ログ記録 標準 AWS WAF ログ ログには、セキュリティイベント属性のテナント識別子が含まれます