の AWS WAF 仕組み - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
新しいダッシュボードについて

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の AWS WAF 仕組み

を使用して AWS WAF 、保護されたリソースが HTTP(S) ウェブリクエストにどのように応答するかを制御します。これを行うには、ウェブアクセスコントロールリスト (ウェブ ACL) を定義し、保護する 1 つ以上のウェブアプリケーションリソースに関連付けます。関連付けられたリソースは、ウェブ ACL による検査 AWS WAF のために受信リクエストを に転送します。

新しいコンソールは、ウェブ ACL 設定プロセスを簡素化します。セキュリティルールを完全に制御しながらセットアップを効率化する保護パックが導入されました。

保護パックはウェブ ACLs の新しい場所であり、コンソールでのウェブ ACL 管理を簡素化しますが、基盤となるウェブ ACL 機能は変更されません。標準コンソールまたは API を使用する場合でも、ウェブ ACLs。

保護パック (ウェブ ACL) で、リクエストで検索するトラフィックパターンを定義し、一致するリクエストに対して実行するアクションを指定するルールを作成します。アクションの選択肢は次のとおりです。

  • 処理と応答のために、リクエストを保護されたリソースに送信することを許可する。

  • リクエストをブロックする。

  • リクエストをカウントする。

  • リクエストに対して CAPTCHA またはチャレンジチェックを実行して、人間のユーザーと標準的なブラウザの使用を確認します。

AWS WAF コンポーネント

以下は、 の主要なコンポーネントです AWS WAF。

  • ウェブ ACLs – ウェブアクセスコントロールリスト (ウェブ ACL) を使用して、一連の AWS リソースを保護します。ウェブ ACL を作成し、ルールを追加してその保護戦略を定義します。ルールは、ウェブリクエストを検査する基準を定義し、条件に一致するリクエストに対して取る行動を指定します。また、ルールによってまだブロックまたは許可されていないすべてのリクエストをブロックするか、許可するかを示すウェブ ACL に対してデフォルトのアクションをセットします。ウェブ ACL の詳細については、「での保護の設定 AWS WAF」を参照してください。

    ウェブ ACL は AWS WAF リソースです。

  • 保護パック (ウェブ ACL) – 新しいコンソールでは、保護パックはウェブ ACLs。セットアップ時に、アプリケーションとリソースに関する情報を提供します。 はシナリオに合わせた保護パック AWS WAF を推奨し、選択した保護パック (ウェブ ACL) で定義されたルール、ルールグループ、アクションを含むウェブ ACL を作成します。保護パック (ウェブ ACLs「」を参照してくださいでの保護の設定 AWS WAF

    保護パック (ウェブ ACL) は AWS WAF リソースです。

  • ルール - 各ルールには、検査基準を定義するステートメントと、ウェブリクエストがその基準を満たす場合に実行するアクションが含まれます。ウェブリクエストが条件を満たしている場合、それは一致となります。CAPTCHA パズルまたはサイレントクライアントブラウザのチャレンジを使用する一致リクエストをブロック、許可、カウント、ボットコントロールを実行するルールを設定できます。ルールの詳細については、「AWS WAF ルール」を参照してください。

    ルールは AWS WAF リソースではありません。これは、保護パック (ウェブ ACL) またはルールグループのコンテキストでのみ存在します。

  • ルールグループ – 保護パック (ウェブ ACL) 内または再利用可能なルールグループでルールを直接定義できます。 AWS マネージドルールと AWS Marketplace 販売者は、使用するマネージドルールグループを提供します。また、独自のルールグループを定義することもできます。ルールグループの詳細については、「AWS WAF ルールグループ」を参照してください。

    ルールグループは AWS WAF リソースです。

  • ウェブ ACL キャパシティユニット (WCUs) – WCUs AWS WAF を使用して、ルール、ルールグループ、保護パック (ウェブ ACLs)、またはウェブ ACLs。

    WCU は AWS WAF リソースではありません。これは、保護パック (ウェブ ACL)、ルール、またはルールグループのコンテキストにのみ存在します。

新しいダッシュボードについて

新しい で利用可能なダッシュボードは、これらの視覚化を通じてセキュリティ体制を統一して可視化します。

トラフィックインサイトの推奨事項 – AWS 脅威インテリジェンスは、過去 2 週間の許可されたトラフィックをモニタリングし、脆弱性を分析し、以下を提供します。

  • トラフィックベースのルールの提案

  • アプリケーション固有のセキュリティに関する推奨事項

  • 保護最適化ガイダンス

概要 – 指定された時間範囲内のすべてのトラフィックのリクエスト数を表示します。トラフィックデータをフィルタリングするには、次の条件を使用できます。

  • ルール – 保護パック内の個々のルールでフィルタリングします。

  • アクション – 許可、ブロック、キャプチャ、チャレンジなど、トラフィックに対して実行された特定のアクションの数を表示します。

  • トラフィックタイプ – DDoS 対策 DDoS やボットなどの特定のトラフィックタイプのカウントのみを表示します。

  • 時間範囲 – 事前定義された時間範囲から選択するか、カスタム範囲を設定します。

  • ローカルまたは UTC 時間 – 任意の時間形式を設定できます。

保護アクティビティ – 保護ルールとその順序がアクションの終了にどのように影響するかを視覚化します。

  • ルールを通過するトラフィックフロー – ルールを通過するトラフィックフローを表示します。シーケンシャルルールビューから非シーケンシャルルールビューに切り替えて、ルールの順序が結果にどのように影響するかを確認します。

  • ルールアクションとその結果 – 指定した期間にルールがトラフィックに対して実行した終了アクションを表示します。

アクションの合計 – 指定された時間範囲内のリクエストに対して実行されたアクションの合計数を視覚化するグラフ。現在の時間範囲と過去 3 時間の時間枠を比較するには、過去 3 時間のオーバーレイオプションを使用します。次の方法でデータをフィルタリングできます。

  • アクションを許可する

  • アクションの合計

  • Captcha アクション

  • チャレンジアクション

  • ブロックアクション

すべてのルール – 保護パック内のすべてのルールのメトリクスを視覚化するグラフ。

  • 現在の時間範囲と過去 3 時間の時間枠を比較するには、過去 3 時間のオーバーレイオプションを使用します。

概要ダッシュボード – 以下を含む、セキュリティステータスの包括的でグラフィカルなビューを提供します。

  • トラフィック特性 – トラフィックの概要を、オリジン、攻撃タイプ、またはリクエストを送信したクライアントのデバイスタイプ別に表示します。

  • ルールの特性 – 10 の最も一般的なルールと終了アクションによる攻撃の内訳。

  • ボット – ボットのアクティビティ、検出、カテゴリ、ボット関連のシグナルラベルを視覚化します。

  • DDoS 対策 DDoS — 検出されたレイヤー 7 DDoS アクティビティと軽減されたレイヤー 7 DDoS アクティビティの概要。