ウェブ ACL の移行: その他の考慮事項 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ウェブ ACL の移行: その他の考慮事項

新しいウェブ ACL を確認し、新しいウェブ ACL AWS WAF で使用できるオプションを検討して、構成が可能な限り効率的であること、および利用可能な最新のセキュリティオプションを使用していることを確認してください。

AWS その他のマネージドルール

アプリケーションのセキュリティを強化するために、ウェブ ACL AWS に追加のマネージドルールを実装することを検討してください。 AWS WAF これらは追加費用なしで含まれています。 AWS マネージドルールには以下のタイプのルールグループがあります。

  • ベースラインルールグループは、既知の不正な入力がアプリケーションに入らないようにしたり、管理ページへのアクセスを防ぐなど、さまざまな一般的な脅威に対して全般的な保護を提供します。

  • ユースケース固有のルールグループは、多種多様なユースケースに対して段階的な保護を提供します。

  • IP 評価レピュテーションリストは、クライアントの送信元 IP に基づく脅威インテリジェンスを提供します。

詳細については、「AWS のマネージドルール AWS WAF」を参照してください。

ルールの最適化とクリーンアップ

古いルールを再検討し、それらを書き換えたり、古いルールを削除して最適化することを検討してください。たとえば、過去に「OWASP Webアプリケーションの脆弱性トップ10」、「OWASPトップ10のWebアプリケーションの脆弱性への備え」、 AWS WAF および「当社の新しいホワイトペーパー」 AWS CloudFormation のテクニカルペーパーのテンプレートをデプロイしたことがある場合は、それをマネージドルールに置き換えることを検討してください。 AWS このドキュメントに記載されている概念はまだ適用可能で、独自のルールを作成する際に役立つかもしれませんが、テンプレートによって作成されたルールは、主にマネージドルールに取って代わられています。 AWS

Amazon CloudWatch メトリクスとアラーム

Amazon CloudWatch メトリックスを再確認し、必要に応じてアラームを設定します。CloudWatch 移行してもアラームは引き継がれず、メトリックス名が希望どおりにならない可能性があります。

アプリケーションチームとの確認

アプリケーションチームと協力して、セキュリティ体制を確認してください。アプリケーションによって頻繁に解析されるフィールドを調べ、それに応じて入力をサニタイズするルールを追加します。エッジケースをチェックし、アプリケーションのビジネスロジックがケースを処理できない場合にこれらのケースをキャッチするルールを追加します。

切り替えの計画

アプリケーションチームと切り替えのタイミングを計画します。古いウェブ ACL の関連付けから新しいものへの切り替えは、リソースが保存されているすべての領域に反映されるまで、少し時間がかかる場合があります。伝播時間は、数秒から数分までかかります。この際、一部のリクエストは古いウェブ ACL で処理される一方、他のものは新しいウェブ ACL で処理されます。リソースは切り替え作業を通して保護されますが、その過程中にリクエスト処理に一貫性がないことに気付く場合があります。

切り替えの準備ができたら、「ウェブ ACL の移行: 切り替え」の手順に従います。