の AWS WAF 仕組み - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の AWS WAF 仕組み

を使用して AWS WAF 、保護されたリソースが HTTP(S) ウェブリクエストにどのように応答するかを制御します。これを行うには、ウェブアクセスコントロールリスト (ウェブ ACL) または保護パックを定義し、保護する 1 つ以上のウェブアプリケーションリソースに関連付けます。関連付けられたリソースは、受信リクエストを に転送して、保護パックまたはウェブ ACL による検査 AWS WAF を行います。

保護パックまたはウェブ ACL で、リクエストで検索するトラフィックパターンを定義し、一致するリクエストに対して実行するアクションを指定するルールを作成します。アクションの選択肢は次のとおりです。

  • 処理と応答のために、リクエストを保護されたリソースに送信することを許可する。

  • リクエストをブロックする。

  • リクエストをカウントする。

  • リクエストに対して CAPTCHA またはチャレンジチェックを実行して、人間のユーザーと標準的なブラウザの使用を確認します。

AWS WAF コンポーネント

以下は、 の主要なコンポーネントです AWS WAF。

  • ウェブ ACLs – ウェブアクセスコントロールリスト (ウェブ ACL) を使用して、一連の AWS リソースを保護します。ウェブ ACL を作成し、ルールを追加してその保護戦略を定義します。ルールは、ウェブリクエストを検査する基準を定義し、条件に一致するリクエストに対して取る行動を指定します。また、ルールによってまだブロックまたは許可されていないすべてのリクエストをブロックするか、許可するかを示すウェブ ACL に対してデフォルトのアクションをセットします。ウェブ ACL の詳細については、「での保護の設定 AWS WAF」を参照してください。

    ウェブ ACL は AWS WAF リソースです。

  • 保護パック – 保護パックを使用して、一連の AWS リソースを保護します。保護パックは、基本的にウェブ ACLs。保護パックを作成し、ルールを追加して保護戦略を定義します。ルールは、ウェブリクエストを検査する基準を定義し、条件に一致するリクエストに対して取る行動を指定します。また、ルールがまだブロックまたは許可していないリクエストをブロックまたは許可するかどうかを示す保護パックのデフォルトアクションを設定します。保護パックの詳細については、「」を参照してくださいでの保護の設定 AWS WAF

    保護パックは AWS WAF リソースです。

  • ルール - 各ルールには、検査基準を定義するステートメントと、ウェブリクエストがその基準を満たす場合に実行するアクションが含まれます。ウェブリクエストが条件を満たしている場合、それは一致となります。CAPTCHA パズルまたはサイレントクライアントブラウザのチャレンジを使用する一致リクエストをブロック、許可、カウント、ボットコントロールを実行するルールを設定できます。ルールの詳細については、「AWS WAF ルール」を参照してください。

    ルールは AWS WAF リソースではありません。これは、保護パック、ウェブ ACL、またはルールグループのコンテキストでのみ存在します。

  • ルールグループ – 保護パックまたはウェブ ACL 内で直接ルールを定義するか、再利用可能なルールグループでルールを定義できます。 AWS マネージドルールと AWS Marketplace 販売者は、使用するマネージドルールグループを提供します。また、独自のルールグループを定義することもできます。ルールグループの詳細については、「AWS WAF ルールグループ」を参照してください。

    ルールグループは AWS WAF リソースです。

  • ウェブ ACL キャパシティユニット (WCUs) – WCUs AWS WAF を使用して、ルール、ルールグループ、保護パック、またはウェブ ACLs。

    WCU は AWS WAF リソースではありません。これは、保護パック、ウェブ ACL、ルール、またはルールグループのコンテキストでのみ存在します。

新しいダッシュボードについて

更新を通じて利用可能なダッシュボードは、これらの視覚化を通じてセキュリティ体制を統一して可視化します。

トラフィックインサイトの推奨事項 – AWS 脅威インテリジェンスは、過去 2 週間の許可されたトラフィックをモニタリングし、脆弱性を分析し、以下を提供します。
  • トラフィックベースのルールの提案

  • アプリケーション固有のセキュリティに関する推奨事項

  • 保護最適化ガイダンス

概要 – 指定された時間範囲内のすべてのトラフィックのリクエスト数を表示します。次の条件を使用して、トラフィックデータをフィルタリングできます。
  • ルール – 保護パック内の個々のルールでフィルタリングします。

  • アクション – 許可、ブロック、キャプチャ、チャレンジなどのトラフィックに対して実行された特定のアクションの数を表示します。

  • トラフィックタイプ – DDoS 対策やボットなどの特定のトラフィックタイプのカウントのみを表示します。

  • 時間範囲 – 事前定義された時間範囲から選択するか、カスタム範囲を設定します。

  • ローカルまたは UTC 時間 – 任意の時間形式を設定できます。

保護アクティビティ – 保護ルールとその順序がアクションの終了にどのように影響するかを視覚化します。
  • ルールを通過するトラフィックフロー – ルールを通過するトラフィックフローを表示します。シーケンシャルルールビューから非シーケンシャルルールビューに切り替えて、ルールの順序が結果にどのように影響するかを確認します。

  • ルールアクションとその結果 – 指定した期間にルールがトラフィックに対して実行した終了アクションを表示します。

アクションの合計 - 指定された時間範囲でリクエストに対して実行されたアクションの合計数を視覚化するグラフ。現在の時間範囲と過去 3 時間の時間枠を比較するには、過去 3 時間のオーバーレイオプションを使用します。次の方法でデータをフィルタリングできます。
  • アクションを許可する

  • アクションの合計

  • Captcha アクション

  • チャレンジアクション

  • ブロックアクション

すべてのルール – 保護パック内のすべてのルールのメトリクスを視覚化するグラフ。
  • 現在の時間範囲と過去 3 時間の時間枠を比較するには、過去 3 時間のオーバーレイオプションを使用します。

概要ダッシュボード – 以下を含む、セキュリティステータスの包括的でグラフィカルなビューを提供します。
  • トラフィック特性 – トラフィックの概要を、オリジン、攻撃タイプ、またはリクエストを送信したクライアントのデバイスタイプ別に表示します。

  • ルールの特性 – 10 の最も一般的なルールと終了アクションによる攻撃の内訳。

  • ボット – ボットアクティビティ、検出、カテゴリ、ボット関連のシグナルラベルを視覚化します。

  • DDoS 対策 – 検出されたレイヤー 7 DDoS アクティビティと軽減されたレイヤー 7 DDoS アクティビティの概要。