AWS WAF、AWS Shield、AWS Firewall Manager とは - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

AWS WAF、AWS Shield、AWS Firewall Manager とは

AWS WAF は、Amazon CloudFront 配信、Amazon API Gateway REST API、Application Load Balancer、または AWS AppSync GraphQL API に転送される HTTP および HTTPS リクエストをモニタリングするためのウェブアプリケーションファイアウォールです。AWS WAF では、コンテンツへのアクセスを制御することもできます。リクエストの送信元の IP アドレスやクエリ文字列の値など、指定した基準に基づいて、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、または AWS AppSync は、リクエストされたコンテンツまたは HTTP 403 ステータスコード (禁止) のいずれかでリクエストに応答します。リクエストがブロックされたときにカスタムエラーを返すように CloudFront を設定することもできます。

基本的に、AWS WAF では次のいずれかの動作を選択できます。

  • 指定したものを除くすべてのリクエストを許可する – これは、パブリックウェブサイトのコンテンツを提供するために、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、もしくは AWS AppSync が必要だが、攻撃者からのリクエストをブロックしたい場合にも役立ちます。

  • 指定したリクエスト以外のすべてのリクエストをブロックする - これは、制限されたウェブサイトのコンテンツを提供する場合に便利です。ユーザーは、ウェブサイトをウェブリクエストのプロパティ (ウェブサイトを参照するために使用する IP アドレスなど) によって簡単に識別できるようになります。

  • 条件に一致するリクエストをカウントする - カウントアクションを使用して、処理方法を変更せずにウェブトラフィックを追跡できます。これは、一般的なモニタリングのほか、新しいウェブリクエスト処理ルールをテストするためにも使用できます。ウェブリクエストの新しいプロパティに基づいてリクエストを許可またはブロックする場合は、最初に、それらのプロパティに一致するリクエストをカウントするように AWS WAF を設定できます。これにより、新しい許可またはブロックアクションを実装する前に、新しい構成設定を確認できます。

  • 基準に一致するリクエストに対して CAPTCHA チェックを実行する – リクエストに対する CAPTCHA コントロールを実装して、保護されたリソースへのボットトラフィックの削減に役立てることができます。

AWS WAF の使用には、いくつかの利点があります。

  • 指定した基準を使用した、ウェブ攻撃に対する追加の保護。基準を定義するには、次のようなウェブリクエストの特性を使用します。

    • リクエストの発生元の IP アドレス.

    • リクエスト送信元の国。

    • リクエストヘッダーの値。

    • リクエストに含まれる文字列 (正規表現パターンと一致する特定の 1 つ以上の文字列)。

    • リクエストの長さ。

    • 悪意のある可能性がある SQL コード (SQL インジェクション) の有無。

    • 悪意のある可能性があるスクリプト (クロスサイトスクリプティング) の有無。

  • 指定された基準を満たすウェブリクエストを許可、ブロック、またはカウントするルール。また、ルールは、指定された基準を満たすだけでなく、5 分間にわたって指定された数のリクエストを超えるウェブリクエストをブロックまたはカウントすることもできます。

  • 複数のウェブアプリケーションで再利用できるルール.

  • AWS および AWS Marketplace 販売者のマネージドルールグループ。

  • リアルタイムのメトリクスとサンプリングされたウェブリクエスト.

  • AWS WAF API を使用した自動管理。

AWS Shield

AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) を使用すると、Distributed Denial of Service (DDoS) 攻撃の影響を最小限に抑えることができます。AWS には、DDoS 攻撃に対する保護機能をさらに強化するために、AWS Shield Standard と AWS Shield Advanced が用意されています。AWS Shield Standard は自動的に追加料金なしで含まれます。AWS WAF と他の AWS のサービスに対して支払い済みの金額を超えてお支払いいただくことはありません。AWS Shield Advanced により、Amazon EC2 インスタンス、Elastic Load Balancing ロードバランサー、CloudFront ディストリビューション、Route 53 ホストゾーン、および AWS Global Accelerator 標準アクセラレーターで DDoS 攻撃に対する保護が強化されます。AWS Shield Advanced には追加料金が発生します。

AWS Shield Standard と AWS Shield Advanced の詳細については、「AWS Shield」を参照してください。

AWS Firewall Manager

AWS Firewall Manager は、AWS WAF、AWS Shield Advanced、Amazon VPC セキュリティグループ、AWS Network Firewall、Amazon Route 53 Resolver DNS Firewall など、さまざまな保護のために、複数のアカウントとリソースにおける管理とメンテナンスのタスクを簡素化します。Firewall Manager を使用すると、保護を 1 回設定するだけで、アカウントとリソースに (追加する新しいアカウントとリソースにも) その保護が自動的に適用されます。

Firewall Manager の詳細については、「AWS Firewall Manager」を参照してください。