マネージドルールグループを使用したバージョン管理 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マネージドルールグループを使用したバージョン管理

多くのマネージドルールグループプロバイダーは、ルールグループの新しいバージョンでルールグループのオプションと機能を更新します。通常、マネージドルールグループの特定のバージョンは静的です。場合によっては、例えば新しいセキュリティの脅威に対応するために、プロバイダーがマネージドルールグループの既存のバージョンの一部または全部を更新する必要がある場合があります。

ウェブ ACL にマネージドルールグループを追加するときに、ルールグループがバージョニングをサポートしている場合は、使用するバージョンをプロバイダーに管理させるか、バージョン設定を自ら管理するかを選択できます。

必要なバージョンが見つかりませんか?

ルールグループのバージョン一覧にバージョンが表示されない場合は、そのバージョンの有効期限の失効が予定されているか、すでに期限切れになっている可能性があります。バージョンの有効期限がスケジュールされると、 AWS WAF ではルールグループにそのバージョンを選択できなくなります。

AWS マネージドルールのルールグループのバージョニングと SNS 通知

AWS マネージドルールのルールグループはすべて、IP レピュテーション、Bot Control、アカウント乗っ取り防止のルールグループを除いて、バージョニングと SNS 更新通知を提供します。

通知を提供する AWS マネージドルールのルールグループはすべて、同じ SNS トピックの Amazon リソースネーム (ARN) を使用します。

マネージドルールグループのバージョンライフサイクル

プロバイダーは、マネージドルールグループの静的バージョンの次のライフサイクルステージを処理します。

  • リリースとアップデート – マネージドルールグループのプロバイダーは、Amazon Simple Notification Service (Amazon SNS) トピックに対する通知を通じて、マネージドルールグループの今後のバージョンと新しい静的バージョンを知らせます。また、プロバイダーは、緊急時の必須の更新など、ルールグループに関するその他の重要な情報を伝達するためにトピックを使用する場合もあります。

    ルールグループのトピックをサブスクライブし、通知の受信方法を設定できます。詳細については、「新しいバージョンとアップデートの通知を受け取る」を参照してください。

  • 有効期限のスケジュール – マネージドルールグループのプロバイダーは、古いバージョンのルールグループの有効期限をスケジュールします。失効予定のバージョンは、ウェブ ACL ルールに追加できません。バージョンの有効期限がスケジュールされると、 は Amazon のカウントダウンメトリクスを使用して有効期限 AWS WAF を追跡します CloudWatch。

    で メトリクスにアラームを設定 CloudWatch して、使用しているバージョンの有効期限を追跡できます。これにより、カウントダウンが完了する前に新しいバージョンをテストし、期限切れが近いバージョンから移行する時間を確保できます。詳細については、「バージョンの有効期限の追跡」を参照してください。

  • バージョンの有効期限 – マネージドルールグループの期限切れバージョンを使用するようにウェブ ACL を設定している場合、ウェブ ACL の評価中に、 はルールグループのデフォルトバージョン AWS WAF を使用します。さらに、 は、ルールグループを削除したり、そのバージョンを期限切れでないバージョンに変更したりしないウェブ ACL への更新を AWS WAF ブロックします。

AWS Marketplace マネージドルールグループを使用する場合は、バージョンのライフサイクルに関する追加情報をプロバイダーに問い合わせてください。

マネージドルールグループのバージョン処理に関するベストプラクティス

バージョン管理されたマネージドルールグループを使用する場合は、このベストプラクティスのガイダンスに従ってバージョニングを行ってください。

ウェブ ACL でマネージドルールグループを使用する場合は、ルールグループの特定の静的バージョンを使用するか、デフォルトバージョンを使用するように選択できます。

  • デフォルトバージョン – AWS WAF 常にデフォルトバージョンをプロバイダーが現在推奨している静的バージョンに設定します。推奨される静的バージョンをプロバイダーが更新すると、 AWS WAF は、ウェブ ACL のルールグループのデフォルトバージョンの設定を自動的に更新します。

    マネージドルールグループのデフォルトバージョンを使用する場合は、ベストプラクティスとして次の手順を実行します。

    • 通知をサブスクライブする – ルールグループへの変更に関する通知をサブスクライブし、それらを監視します。ほとんどのプロバイダーは、新しい静的バージョンとデフォルトバージョンの変更について事前通知を送信します。これにより、 がデフォルトバージョン AWS を切り替える前に、新しい静的バージョンの効果を確認できます。詳細については、「新しいバージョンとアップデートの通知を受け取る」を参照してください。

    • デフォルトを新しい静的バージョンに設定する前に、その影響を確認し、必要に応じて調整する – デフォルトを新しい静的バージョンに設定する前に、ウェブリクエストのモニタリングと管理に対する静的バージョンの影響を確認します。新しい静的バージョンには、確認する新しいルールが含まれている可能性があります。ルールグループの使用方法を変更する必要がある場合に備えて、誤検出やその他の予期しない動作を見つけます。例えば、新しい動作の処理方法を把握しながら、トラフィックをブロックしないようにするために、ルールをカウントに設定できます。詳細については、「AWS WAF 保護のテストとチューニング」を参照してください。

  • 静的バージョン – 静的バージョンを使用する場合は、ルールグループの新しいバージョンを採用する準備ができたら、バージョン設定を手動で更新する必要があります。

    マネージドルールグループの静的バージョンを使用する場合は、ベストプラクティスとして次の手順を実行します。

    • バージョンを最新の状態に保つ – マネージドルールグループを可能な限り最新バージョンに近いものにします。新しいバージョンがリリースされたら、それをテストし、必要に応じて設定を調整し、適時に実装してください。テストについては、「AWS WAF 保護のテストとチューニング」を参照してください。

    • 通知をサブスクライブする – ルールグループに対する変更に関する通知をサブスクライブして、プロバイダーが新しい静的バージョンをいつリリースするかを把握します。ほとんどのプロバイダーは、バージョン変更に関する事前の通知を提供します。さらに、セキュリティホールをふさぐため、またはその他の緊急の理由で、使用している静的バージョンをプロバイダーが更新する必要がある場合があります。プロバイダーの通知をサブスクライブすると、状況について知ることができます。詳細については、「新しいバージョンとアップデートの通知を受け取る」を参照してください。

    • [Avoid version expiration] (バージョンの有効期限切れを回避する) - これ使用している間は、静的バージョンの有効期限が切れないようにします。期限切れのバージョンのプロバイダーによる処理はさまざまであり、使用可能なバージョンへのアップグレードの強制や、予期しない結果をもたらす可能性のあるその他の変更が含まれる場合があります。 AWS WAF 有効期限メトリクスを追跡し、サポートされているバージョンに正常にアップグレードするのに十分な日数のアラームを設定します。詳細については、「バージョンの有効期限の追跡」を参照してください。