保護パック (ウェブ ACL) の移行: その他の考慮事項 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

保護パック (ウェブ ACL) の移行: その他の考慮事項

新しい保護パック (ウェブ ACL) を確認して、新しい AWS WAF で使用できるオプションを検討することにより、設定の効率が可能な限り高いことと、利用可能な最新のセキュリティオプションを使用していることを確認します。

追加の AWS マネージドルール

アプリケーションのセキュリティ体制を強化するため、保護パック (ウェブ ACL) に追加の AWS マネージドルールを実装することを検討してください。これらは追加費用なしで AWS WAF に含まれています。AWSマネージドルールには、次のタイプのルールグループがあります。

  • ベースラインルールグループは、既知の不正な入力がアプリケーションに入らないようにしたり、管理ページへのアクセスを防ぐなど、さまざまな一般的な脅威に対して全般的な保護を提供します。

  • ユースケース固有のルールグループは、多種多様なユースケースに対して段階的な保護を提供します。

  • IP 評価レピュテーションリストは、クライアントの送信元 IP に基づく脅威インテリジェンスを提供します。

詳細については、「AWS WAF の AWS マネージドルール」を参照してください。

ルールの最適化とクリーンアップ

古いルールを再検討し、それらを書き換えたり、古いルールを削除して最適化することを検討してください。例えば、過去に OWASP Top 10 Web Application Vulnerabilities に関する技術関連ドキュメントである「Prepare for the OWASP Top 10 Web Application Vulnerabilities Using AWS CloudFormation and Our New White Paper」( と新しいホワイトペーパーを使用して、OWASP Top 10 Web Application Vulnerabilities に備える) から AWS WAF テンプレートをデプロイした場合は、それを AWS マネージドルールに置き換えることを検討する必要があります。ドキュメントに記載された概念は依然として有効であり、独自のルールを作成するのに役立つかもしれませんが、テンプレートによって作成されたルールは大部分が AWS マネージドルールに置き換えられています。

Amazon CloudWatch メトリクスおよびアラーム

Amazon CloudWatch メトリクスに再度アクセスして、必要に応じてアラームを設定します。移行では CloudWatch アラームが引き継がれないため、メトリクス名が目的のものとは異なる可能性があります。

アプリケーションチームとの確認

アプリケーションチームと協力して、セキュリティ体制を確認してください。アプリケーションによって頻繁に解析されるフィールドを調べ、それに応じて入力をサニタイズするルールを追加します。エッジケースをチェックし、アプリケーションのビジネスロジックがケースを処理できない場合にこれらのケースをキャッチするルールを追加します。

切り替えの計画

アプリケーションチームと切り替えのタイミングを計画します。古い保護パック (ウェブ ACL) の関連付けから新しいものへの切り替えは、リソースが保存されているすべての領域に反映されるまで、少し時間がかかる場合があります。伝播時間は、数秒から数分までかかります。この際、一部のリクエストは古い保護パック (ウェブ ACL) で処理される一方、他のものは新しい保護パック (ウェブ ACL) で処理されます。リソースは切り替え作業を通して保護されますが、その過程中にリクエスト処理に一貫性がないことに気付く場合があります。

切り替えの準備ができたら、「保護パック (ウェブ ACL): スイッチオーバー」の手順に従います。