AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド
開発者ガイド (API バージョン 2015-08-24)

AWS WAF、AWS Shield、AWS Firewall Manager の概要

AWS WAF は、Amazon API Gateway API、Amazon CloudFront、または Application Load Balancer に転送される HTTP および HTTPS リクエストをモニタリング可能にするウェブアプリケーションファイアウォールです。また、AWS WAF は、コンテンツへのアクセスを制御可能にします。リクエストの送信元の IP アドレスやクエリ文字列の値などの、指定した条件に基づいて、API Gateway、CloudFront、または Application Load Balancer はリクエストされたコンテンツまたは HTTP 403 ステータスコード (禁止) のリクエストのいずれかに対応します。CloudFront を設定して、リクエストがブロックされたときにカスタムエラーページを返すこともできます。

基本的に、AWS WAF では以下のいずれかの動作を選択できます。

  • 指定したリクエスト以外のすべてのリクエストを許可する – これは、CloudFront または Application Load Balancer に公開ウェブサイトのコンテンツを提供するが、攻撃者からのリクエストをブロックする場合に便利です。

  • 指定したリクエスト以外のすべてのリクエストをブロックする – これは、制限されたウェブサイトのコンテンツを提供する場合に便利です。ユーザーは、ウェブサイトをウェブリクエストのプロパティ (ウェブサイトを参照するために使用する IP アドレスなど) によって簡単に識別できるようになります。

  • 指定したプロパティに一致するリクエストをカウントする – ウェブリクエストの新しいプロパティに基づいてリクエストを許可または拒否する場合は、まず、それらのプロパティに一致するリクエストを許可または拒否せずにカウントするように、AWS WAF を設定できます。これにより、ウェブサイトへのすべてのトラフィックをブロックするように AWS WAF を誤って設定していないことを確認できます。正しいプロパティを指定していることが確認できたら、リクエストを許可または拒否するように動作を変更できます。

AWS WAF の使用には、いくつかの利点があります。

  • 指定した条件を使用した、ウェブ攻撃に対する追加の保護。条件を定義するには、以下のようなウェブリクエストのプロパティを使用します。

    • リクエストの発生元の IP アドレス.

    • リクエスト送信元の国。

    • リクエストヘッダーの値.

    • リクエストに含まれる文字列 (正規表現パターンと一致する特定の 1 つ以上の文字列)。

    • リクエストの長さ.

    • 悪意のある可能性がある SQL コード (SQL インジェクション) の有無。

    • 悪意のある可能性があるスクリプト (クロスサイトスクリプティング) の有無。

  • 指定された条件を満たすウェブリクエストを許可、ブロック、またはカウントするルール。また、ルールは、指定された条件を満たすだけでなく、5 分間にわたって指定された数のリクエストを超えるウェブリクエストをブロックまたはカウントすることもできます。

  • 複数のウェブアプリケーションで再利用できるルール.

  • リアルタイムのメトリクスとサンプリングされたウェブリクエスト.

  • AWS WAF API を使用した自動管理。

AWS Shield

AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) を使用すると、分散サービス妨害 (DDoS) 攻撃の影響を最小限に抑えることができます。AWS には、DDoS 攻撃に対する保護機能をさらに強化するために、AWS Shield Standard と AWS Shield アドバンスド が用意されています。AWS Shield Standard は自動的に追加料金なしで含まれます。AWS WAF と他の AWS サービスに対して支払い済みの金額を超えてお支払いいただくことはありません。AWS Shield アドバンスド により、Amazon EC2 インスタンス、Elastic Load Balancing ロードバランサー、CloudFront ディストリビューション、Route 53 ホストゾーンで DDoS 攻撃に対する保護が強化されます。AWS Shield アドバンスド には追加料金が発生します。

AWS Shield Standard と AWS Shield アドバンスド の詳細については、「AWS Shield」を参照してください。

AWS Firewall Manager

AWS Firewall Manager は、複数のアカウントおよび複数のリソース間で AWS WAF 管理およびメンテナンスタスクを簡略化します。Firewall Manager を使用して、ファイアウォールルールを 1 回だけ設定できます。このサービスは、新しいリソースを追加した場合でも、アカウントやリソースにルールを自動的に適用します。

Firewall Manager の詳細については、AWS Firewall Manager を参照してください。

このページの内容: