AWS WAF 保護を使用する
CloudFront ディストリビューションとオリジンサーバーを保護するには、AWS WAF を使用できます。AWS WAF は、リクエストがサーバーに到達する前にブロックすることで、ウェブアプリケーションと API を保護するウェブアプリケーションファイアウォールです。詳細については、「CloudFront と AWS WAF を使用したウェブサイトの高速化と保護
AWS WAF 保護を有効にするには、次のことができます。
-
CloudFront コンソールでワンクリック保護を使用します。ワンクリック保護は、AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) を作成し、一般的なウェブの脅威からサーバーを保護するルールを設定して、ウェブ ACL を CloudFront ディストリビューションに自動的にアタッチします。このセクションのトピックでは、ワンクリック保護の使用を前提としています。
-
AWS WAF コンソールまたは AWS WAF API を使用して作成した事前設定済みのウェブ ACL (アクセス制御リスト) を使用します。詳細については、「AWS WAF 開発者ガイド」の「ウェブアクセスコントロールリスト (ACL)」と「AWS WAF API リファレンス」の「AssociateWebACL」を参照してください。
以下の場合に AWS WAF を有効にすることができます。
-
ディストリビューションを作成する
-
[セキュリティ] ダッシュボードを使用して、既存のディストリビューションのセキュリティ設定を編集します。
ワンクリック保護を使用すると、CloudFront は次のような AWS が推奨する一連の保護を適用します。
-
Amazon の内部脅威インテリジェンスに基づく潜在的な脅威から IP アドレスをブロックします。
-
OWASP Top 10
で説明されているように、ウェブアプリケーションに見られる最も一般的な脆弱性から保護します。 -
悪意のある攻撃者がアプリケーションの脆弱性を発見するのを防ぎます。
重要
CloudFront の [セキュリティ] ダッシュボードにセキュリティメトリクスを表示するには、AWS WAF を有効にする必要があります。AWS WAF を有効にしない場合、[セキュリティ] ダッシュボードでできることは AWS WAF を有効にするか、CloudFront の地理的制限を設定することだけです。ダッシュボードの詳細については、このセクションの後半にある「CloudFront セキュリティダッシュボードで AWS WAF セキュリティ保護を管理する」を参照してください。
トピック
