AWS WAF の仕組み - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
新しいダッシュボードを理解する

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS WAF の仕組み

AWS WAF を使用して、保護されたリソースが HTTP(S) ウェブリクエストに対してどのように応答するか制御します。これを行うには、ウェブアクセスコントロールリスト (ウェブ ACL) を定義し、保護する 1 つ以上のウェブアプリケーションリソースと関連付けます。関連付けられたリソースは、ウェブ ACL による検査のために、受信リクエストを AWS WAF に転送します。

新しいコンソール は、ウェブ ACL 設定プロセスを簡素化します。セキュリティルールを完全に制御しながらセットアップを効率化する保護パックが導入されました。

保護パックはウェブ ACL の新しい場所であり、コンソールでのウェブ ACL 管理を簡素化しますが、基盤となるウェブ ACL 機能は変更されません。標準コンソールまたは API を使用する場合でも、ウェブ ACL で引き続き直接作業できます。

保護パック (ウェブ ACL) では、リクエスト内で検索するトラフィックパターンを定義し、一致するリクエストに対して実行するアクションを指定するルールを作成します。アクションの選択肢は次のとおりです。

  • 処理と応答のために、リクエストを保護されたリソースに送信することを許可する。

  • リクエストをブロックする。

  • リクエストをカウントする。

  • リクエストに対して CAPTCHA またはチャレンジチェックを実行して、人間のユーザーと標準的なブラウザの使用を確認します。

AWS WAF コンポーネント

AWS WAF の中心的なコンポーネントは次のとおりです。

  • ウェブ ACL - ウェブアクセスコントロールリスト (ウェブ ACL) を使用して、一連の AWS リソースを保護します。ウェブ ACL を作成し、ルールを追加してその保護戦略を定義します。ルールは、ウェブリクエストを検査する基準を定義し、条件に一致するリクエストに対して取る行動を指定します。また、ルールによってまだブロックまたは許可されていないすべてのリクエストをブロックするか、許可するかを示すウェブ ACL に対してデフォルトのアクションをセットします。 ウェブ ACL の詳細については、「」を参照してくださいAWS WAF で保護を設定する

    ウェブ ACL は AWS WAF リソースです。

  • 保護パック (ウェブ ACL) - 新しいコンソールでは、保護パックはウェブ ACL の新しい場所になります。セットアップ時に、アプリケーションとリソースに関する情報を提供します。 AWS WAF はシナリオに合わせた保護パックを推奨し、選択した保護パック (ウェブ ACL) で定義されたルール、ルールグループ、アクションを含むウェブ ACL を作成します。保護パック (ウェブ ACL) の詳細については、「AWS WAF で保護を設定する」を参照してください。

    保護パック (ウェブ ACL) は AWS WAF リソースです。

  • ルール - 各ルールには、検査基準を定義するステートメントと、ウェブリクエストがその基準を満たす場合に実行するアクションが含まれます。ウェブリクエストが条件を満たしている場合、それは一致となります。CAPTCHA パズルまたはサイレントクライアントブラウザのチャレンジを使用する一致リクエストをブロック、許可、カウント、ボットコントロールを実行するルールを設定できます。ルールの詳細については、「AWS WAF ルール」を参照してください。

    ルールは AWS WAF リソースではありません。ルールは保護パック (ウェブ ACL) またはルールグループのコンテキストでのみ定義されます。

  • ルールグループ - ルールは保護パック (ウェブ ACL) 内または再利用可能なルールグループで直接定義することができます。AWSマネージドルールと AWS Marketplace 販売者は、使用するマネージドルールグループを提供します。また、独自のルールグループを定義することもできます。ルールグループの詳細については、「AWS WAF ルールグループ」を参照してください。

    ルールグループは AWS WAF リソースです。

  • ウェブ ACL キャパシティユニット (WCU) - AWS WAF は WCU を使用して、ルール、ルールグループ、保護パック (ウェブ ACL) の実行に必要な運用リソースを計算およびコントロールします。

    WCU は AWS WAF リソースではありません。保護パック (ウェブ ACL)、ルール、またはルールグループのコンテキストでのみ存在します。

新しいダッシュボードを理解する

新しく提供されるダッシュボードでは、次の視覚化を通じて、セキュリティ体制の統一された可視性が提供されます。

トラフィックインサイトの推奨事項 - AWS 脅威インテリジェンスは、過去 2 週間の許可されたトラフィックをモニタリングし、脆弱性を分析し、以下を提供します。

  • トラフィックベースのルールの提案

  • アプリケーション固有のセキュリティに関する推奨事項

  • 保護最適化ガイダンス

概要 - 指定された時間範囲内のすべてのトラフィックのリクエスト数を表示します。次の条件を使用して、トラフィックデータをフィルタリングできます。

  • ルール - 保護パック内の個々のルールでフィルタリングします。

  • アクション - 許可、ブロック、キャプチャ、チャレンジなど、トラフィックに対して実行された特定のアクションの数を表示します。

  • トラフィックタイプ - DDoS 対策やボットなどの特定のトラフィックタイプの数のみを表示します。

  • 時間範囲 - 事前定義された時間範囲から選択するか、カスタム範囲を設定します。

  • ローカルまたは UTC 時間 - 任意の時間形式を設定できます。

保護アクティビティ - 保護ルールとその順序がアクションの終了にどのように影響するかを視覚化します。

  • ルールを通過するトラフィックフロー - ルールを通過するトラフィックフローを表示します。シーケンシャルルールビュー から 非シーケンシャルルールビュー に切り替えて、ルールの順序が結果にどのように影響するかを確認します。

  • ルールアクションとその結果 - 指定した期間にルールがトラフィックに対して実行した終了アクションを表示します。

アクションの合計 - 指定された時間範囲でリクエストに対して実行されたアクションの合計数を視覚化するグラフ。現在の時間範囲と過去 3 時間の時間枠を比較するには、過去 3 時間のオーバーレイ オプションを使用します。以下でデータをフィルタリングできます。

  • アクションを許可する

  • アクションの合計

  • キャプチャアクション

  • チャレンジアクション

  • ブロックブロック

すべてのルール - 保護パック内のすべてのルールのメトリクスを視覚化するグラフ。

  • 現在の時間範囲と過去 3 時間の時間枠を比較するには、過去 3 時間のオーバーレイ オプションを使用します。

概要ダッシュボード - 以下を含む、セキュリティステータスの包括的でグラフィカルなビューを提供します。

  • トラフィック特性 - トラフィックの概要を、オリジン、攻撃タイプ、またはリクエストを送信したクライアントのデバイスタイプ別に表示します。

  • ルールの特性 - 10 個の最も一般的なルールと終了アクションによる攻撃の内訳。

  • ボット - ボットアクティビティ、検出、カテゴリ、ボット関連のシグナルラベルを視覚化します。

  • DDoS 対策 - 検出および軽減されたレイヤー 7 DDoS アクティビティの概要。