AWS WAF、AWS Shield、AWS Firewall Manager とは - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced
AWS WAFAWS ShieldAWS Firewall Manager

AWS WAF、AWS Shield、AWS Firewall Manager とは

AWS WAFAWS Shield、および AWS Firewall Manager を組み合わせて使用することで、包括的なセキュリティソリューションを作成できます。 AWS WAF は、エンドユーザーがアプリケーションに送信したウェブリクエストをモニタリングし、コンテンツへのアクセスを制御するウェブアプリケーションのファイヤーウォールです。 AWS Shield は、ネットワークレイヤーとトランスポートレイヤー (レイヤー 3 、4)、およびアプリケーションレイヤー (レイヤー 7) で、AWS リソースを DDoS (Distributed Denial of Service) 攻撃から保護します。 AWS Firewall Manager では、アカウントやリソースをまたいで、AWS WAF や Shield Advanced のような保護管理機能を提供します。

AWS WAF

AWS WAF は、保護されたウェブアプリケーションリソースに転送される HTTP と HTTPS リクエストをモニタリングできるウェブアプリケーションファイアウォールです。以下のリソースタイプを保護できます。

  • Amazon CloudFront ディストリビューション

  • Amazon API Gateway REST API

  • Application Load Balancer

  • AWS AppSync GraphQL API

  • Amazon Cognito ユーザープール

  • AWS App Runner のサービス

  • AWS Verified Access インスタンス

AWS WAF では、コンテンツへのアクセスを制御することができます。リクエストの発生元の IP アドレスまたはクエリ文字列の値など、指定した条件に基づいて、保護されたリソースはリクエストに対し、リクエストされたコンテンツ、HTTP 403 ステータスコード (禁止)、カスタム応答のリクエストのいずれかで応答します。

基本的に、AWS WAF では次のいずれかの動作を選択できます。

  • 指定したリクエストを除くすべてのものを許可 – これは、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync、Amazon Cognito、AWS App Runner、または AWS Verified Access のいずれかで、パブリックウェブサイトに対してコンテンツを提供しているときに、攻撃者からのリクエストをブロックしたい場合に役立ちます。

  • 指定したリクエスト以外のすべてのリクエストをブロックする - これは、制限されたウェブサイトのコンテンツを提供する場合に便利です。ユーザーは、ウェブサイトをウェブリクエストのプロパティ (ウェブサイトを参照するために使用する IP アドレスなど) によって簡単に識別できるようになります。

  • 条件に一致するリクエストをカウントする - Count アクションを使用して、処理方法を変更せずにウェブトラフィックを追跡できます。これは、一般的なモニタリングのほか、新しいウェブリクエスト処理ルールをテストするためにも使用できます。ウェブリクエストの新しいプロパティに基づいてリクエストを許可またはブロックする場合は、最初に、それらのプロパティに一致するリクエストをカウントするように AWS WAF を設定できます。これにより、ルールを切り替えて一致するリクエストを許可またはブロックする前に、新しい構成設定を確認できます。

  • 基準に一致するリクエストに対して CAPTCHA または、チャレンジチェックを実行する – リクエストに対する CAPTCHA とサイレントチャレンジコントロールを実装して、保護されたリソースへのボットトラフィックを削減することができます。

AWS WAF の使用には、いくつかの利点があります。

  • 指定した基準を使用した、ウェブ攻撃に対する追加の保護。基準を定義するには、次のようなウェブリクエストの特性を使用します。

    • リクエストの発生元の IP アドレス。

    • リクエスト送信元の国。

    • リクエストヘッダーの値。

    • リクエストに含まれる文字列 (正規表現パターンと一致する特定の 1 つ以上の文字列)。

    • リクエストの長さ。

    • 悪意のある可能性がある SQL コード (SQL インジェクション) の有無。

    • 悪意のある可能性があるスクリプト (クロスサイトスクリプティング) の有無。

  • 指定された基準を満たすウェブリクエストを許可、ブロック、またはカウントするルール。また、ルールは、指定された基準を満たすだけでなく、5 分間にわたって指定された数のリクエストを超えるウェブリクエストをブロックまたはカウントすることもできます。

  • 複数のウェブアプリケーションで再利用できるルール。

  • AWS および AWS Marketplace 販売者のマネージドルールグループ。

  • リアルタイムのメトリクスとサンプリングされたウェブリクエスト。

  • AWS WAF API を使用した自動管理。

リソースに追加する保護をよりきめ細かに制御したい場合は、AWS WAF のみを使用することが適切な選択である場合があります。AWS WAF の詳細については、「AWS WAF」を参照してください。

AWS Shield

AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) を使用すると、Distributed Denial of Service (DDoS) 攻撃の影響を最小限に抑えることができます。DDoS 攻撃に対する保護を強化するために、AWS は AWS Shield Standard および AWS Shield Advanced も提供しています。AWS Shield Standard は自動的に組み込まれており、AWS WAF およびその他の AWS サービスに対する料金以外の追加コストは発生しません。

AWS Shield Advanced は、Amazon EC2 インスタンス、Elastic Load Balancing ロードバランサー、CloudFront ディストリビューション、Route 53 ホストゾーン、および AWS Global Accelerator 標準アクセラレーターに対する拡張 DDoS 攻撃保護を提供しています。AWS Shield Advanced には追加料金が発生します。Shield Advanced のオプションと機能には、アプリケーションレイヤー DDoS 自動緩和、高度なイベント可視性、および Shield Response Team (SRT) からの専用サポートが含まれます。認知度の高いウェブサイトを所有している場合、または頻繁な DDoS 攻撃を受けやすいという場合は、Shield Advanced が提供する追加保護の購入を検討してください。詳細については、「AWS Shield Advanced の機能とオプション」および「AWS Shield Advanced をサブスクライブして追加の保護を適用するか否かの判断」を参照してください。

AWS Firewall Manager

AWS Firewall Manager は、AWS WAF、AWS Shield Advanced、Amazon VPC セキュリティグループ、AWS Network Firewall、Amazon Route 53 Resolver DNS Firewall など、さまざまな保護のために、複数のアカウントとリソースにおける管理とメンテナンスのタスクを簡素化します。Firewall Manager を使用すると、保護を 1 回設定するだけで、アカウントとリソースに (追加する新しいアカウントとリソースにも) その保護が自動的に適用されます。

Firewall Manager の詳細については、「AWS Firewall Manager」を参照してください。