AWS WAF 保護のテストとチューニング - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

AWS WAF 保護のテストとチューニング

ウェブサイトまたはウェブアプリケーショントラフィックに適用する前に、 ウェブ ACL への変更をテストおよびチューニングすることをお勧めします。

本番稼働トラフィックのリスク

本番稼働トラフィックにウェブ ACL 実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。

このセクションでは、AWS WAF ウェブ ACL、ルール、ルールグループ、IP セット、および正規表現パターンセットをテストおよびチューニングするためのガイダンスを提供します。

また、このセクションでは、他のユーザーによって管理されているルールグループの使用をテストするための一般的なガイダンスも提供します。これには、AWSマネージドルールのルールグループAWS Marketplace、マネージドグループ、別のアカウントによって共有されているルールグループが含まれます。これらのルールグループについては、ルールグループプロバイダーから取得したガイダンスにも従ってください。

更新中の一時的な不一致

ウェブ ACL またはウェブ ACL コンポーネント (ルールやルールグループなど) に変更を加えると、AWS WAF は、ウェブ ACL とそのコンポーネントが保存および使用されるすべての場所に変更を伝達します。変更は数秒以内に適用されますが、変更がある場所に到着し、他の場所には到着していない場合、一時的な不一致が生じる可能性があります。したがって、例えば、ルールのアクション設定を変更すると、そのアクションは、あるエリアでは古いアクションとなり、別のエリアでは新しいアクションとなる場合があります。または、ブロックルールで使用される IP セットに IP アドレスを追加すると、新しいアドレスはあるエリアでは一時的にブロックされ、別のエリアでは許可される場合があります。この一時的な不整合は、最初にウェブ ACL を AWS リソースに関連付けたとき、および既にリソースに関連付けられているウェブ ACL を変更したときに発生する可能性があります。ほとんどの場合、このタイプの不一致は数秒で解決します。