投稿日: Jun 5, 2018

AWS WAF に追加された 2 つの新機能は、より具体的なルール作成を容易にし、Web アプリケーション、および (a) クエリ文字列不一致への クエリを実行する拡張パターンマッチング、(b) オクテットではない CIDR boundary のサポートを含む Web アプリケーションと API をプロテクトします。

クエリ文字列とのパターンマッチングが強化されているため、URLのクエリ文字列を解析し、特定のクエリの値またはすべてのクエリの値に対してパターンマッチを実行するように AWS WAF を構成できるようになりました。これまでは、個々の名前 - 値の組み合わせを区別することなく、全クエリ文字列に文字列を照合する (または正規表現を使う) ことが可能でした。 この拡張では、クエリ文字内に隠れているアプリケーションの虚弱性のための WAF ルールを作成し、もっと的を絞ったルックアップやよりきめの細かい検出を行うことが可能となり、そのためクエリ不一致名の誤検出が減少します。 例えば、URL「 https:// example.com/page?name1=value1&name2=value2 」内で、クエリ 不一致 "name1" の値 "value1" またはクエリ文字列の一つ以上の名前 - 値の組み合わせのサイズ制限条件に一致する文字列一致条件を作成できます。

オクテットではない CIDR boundary へのサポートで、IPv4 アドレスの /16 と /32 の間のサブネットマスクを設定することにより、より決めの細かいサブネット boundary が利用可能となります。 これまでは AWS WAF の IP 一致条件は IPv4 の /8 、 /16 、 /24 、および /32 の間しかサポートされていませんでした。 しかし現在は、 10.21.3.44/31 、 10.21.3.40/29 、 10.21.3.45/17 などの CIDR において一致する AWS WAF ルールを作成することができます。 その結果、 現在 IP リスト 1 つにつき 10,000 CIDR エントリーをサポートする IP リストの中で少ないエントリーですむ、よりよい IP の集約が可能となりました。 /128 /64 /56 /48 /32 および /24 といった現状の IPv6 CIDR boundary のサポートも続けます。

これらの新機能はどれも追加料金はいただきません。 詳細については、「AWS WAF 」ページを参照してください。