AWS WAF 用のレートベースのルールでウェブサイトとサービスを保護

AWS WAF (ウェブアプリケーションファイアウォール) は、悪質または不正なリクエストに関与する様々なタイプのアプリケーションレイヤー攻撃からアプリケーションを保護するために利用できます。このサービスについて説明したブログ (「新しい AWS WAF について (New – AWS WAF)」でもお見せしましたが、クロスサイトスクリプティング、IP アドレス、SQL インジェクション、サイズ、コンテンツ制約に見合うルールを定義できます。

受信リクエストがルールと一致すると、アクションが呼び出されます。アクションは許可やブロックを実行したり、単にマッチ数をカウントすることができます。既存のルールモデルはパワフルかつ様々な種類の攻撃を検出し対応することができます。ただし、特定の IP アドレスから送られた有効なリクエストが大量に送信されただけのケースでは、攻撃として対応することはできません。こうしたリクエストはウェブレイヤーの DDoS 攻撃や総当たりのログインの試行、もしくはパートナー統合で不具合があった場合の可能性があります。

新しいレートベースのルール
本日、WAF にレートベースのルールを追加しました。これにより、ブラックリストへの IP アドレスの追加または削除を管理できるようになり、例外や特別なケースに対応できる柔軟性も提供します。IP アドレスをブラックリストに追加 – 設定済みのしきい値を超える速度でリクエスト数を送信した IP アドレスをブラックリストに追加することができます。IP Address のトラッキング– どの IP アドレスがブラックリストに追加されているか見ることができます。IP Address の削除 – ブラックリストに追加された IP アドレスは、設定済みのしきい値を超える速度でリクエストを送信しないようになれば自動的にリストから削除されます。IP Address の例外 – 特定の IP アドレスをブラックリストの対象外として設定することができます。その場合はレートベースのルール内にある IP アドレスのホワイトリストを使用してください。たとえば、自分のサイトに信頼できるパートナーが高速でアクセスできるように許可したい場合もあるでしょう。モニタリングおよびアラーム発行 – 各ルールに発行した CloudWatch メトリクスでモニタリングしたりアラーム発行をすることができます。新しいレートベースのルールと WAF の条件を組み合わせて高度なレート制限戦略を取り入れることもできます。たとえば、レートベースのルールやログインページと一致する WAF 条件を使用できます。そうすることで、ログインページで適度なしきい値を適用できます (パスワードのブルートフォース攻撃を防ぐため)。そして、マーケティングやシステムステータスのページにより高いしきい値を設定することが可能になります。しきい値は 5 分間で 1 つの IP アドレスによる受信リクエスト数により定義されます。このしきい値を超えると、その IP アドレスからの追加リクエストはリクエストの速度がしきい値以下になるまでブロックされます。

レートベースのルールを使用
サイトの/ログインを保護するレートベースのルールを定義する方法を説明します。そのページの URI で希望のストリングと一致する WAF 条件を定義することから始めます。

次にこの条件を使用してレートベースのルールを定義します (レート制約は 5 分間隔で行われるリクエストをもとにしますが、制限を超え次第ブラックリストに追加されます)。

条件とルールの設定が完了したら、Web ACL (ProtectLoginACL) を作成し、すべて一緒に AWS リソースにアタッチさせます (この場合は CloudFront ディストリビューション)。

次にルール (ProtectLogin) を Web ACL にアタッチします。

これでリソースがルールと Web ACL に合致した状態で保護されるようになりました。関連の CloudWatch メトリクス (この場合は ProtectLogin と ProtectLoginACL) をモニタリングできます。CloudWatch アラームを作成し、保護用のしきい値を超えたら Lambda 関数の開始に使うこともできます。コードは寄与度が大きい IP アドレスを調べ、複雑なビジネス主導の決定を行ったり、信頼できるパートナーや特別な支払いプランを使用しているユーザーに普通以上の許可を与えられるよう、ホワイトリストのルールに追加することもできます。

今すぐ使用可能
この新しいレートベースのルールは今すぐご利用いただけます。レートベースのルール料金は通常ルールと同様です。詳しくは「WAF 料金 (WAF Pricing)」ページをご覧ください。

— Jeff;