AWS WAF 保護を使用する - Amazon CloudFront

AWS WAF 保護を使用する

CloudFront ディストリビューションとオリジンサーバーを保護するには、AWS WAF を使用できます。AWS WAF は、リクエストがサーバーに到達する前にブロックすることで、ウェブアプリケーションと API を保護するウェブアプリケーションファイアウォールです。詳細については、「CloudFront と AWS WAF を使用したウェブサイトの高速化と保護」を参照してください。

AWS WAF 保護を有効にするには、次のことができます。

  • CloudFront コンソールでワンクリック保護を使用します。ワンクリック保護は、AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) を作成し、一般的なウェブの脅威からサーバーを保護するルールを設定して、ウェブ ACL を CloudFront ディストリビューションに自動的にアタッチします。このセクションのトピックでは、ワンクリック保護の使用を前提としています。

  • AWS WAF コンソールまたは AWS WAF API を使用して作成した事前設定済みのウェブ ACL (アクセス制御リスト) を使用します。詳細については、「AWS WAF 開発者ガイド」の「ウェブアクセスコントロールリスト (ACL)」と「AWS WAF API リファレンス」の「AssociateWebACL」を参照してください。

以下の場合に AWS WAF を有効にすることができます。

  • ディストリビューションを作成する

  • [セキュリティ] ダッシュボードを使用して、既存のディストリビューションのセキュリティ設定を編集します。

ワンクリック保護を使用すると、CloudFront は次のような AWS が推奨する一連の保護を適用します。

  • Amazon の内部脅威インテリジェンスに基づく潜在的な脅威から IP アドレスをブロックします。

  • OWASP Top 10 で説明されているように、ウェブアプリケーションに見られる最も一般的な脆弱性から保護します。

  • 悪意のある攻撃者がアプリケーションの脆弱性を発見するのを防ぎます。

重要

CloudFront の [セキュリティ] ダッシュボードにセキュリティメトリクスを表示するには、AWS WAF を有効にする必要があります。AWS WAF を有効にしない場合、[セキュリティ] ダッシュボードでできることは AWS WAF を有効にするか、CloudFront の地理的制限を設定することだけです。ダッシュボードの詳細については、このセクションの後半にある「CloudFront セキュリティダッシュボードで AWS WAF セキュリティ保護を管理する」を参照してください。