保護パックまたはウェブ ACL の移行: その他の考慮事項 - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保護パックまたはウェブ ACL の移行: その他の考慮事項

新しい保護パックまたはウェブ ACL を確認し、新しい で使用可能なオプションを検討 AWS WAF して、設定ができるだけ効率的であり、利用可能な最新のセキュリティオプションを使用していることを確認します。

その他の AWS マネージドルール

アプリケーションのセキュリティ体制を強化するために、追加の AWS マネージドルールを保護パックまたはウェブ ACL に実装することを検討してください。これらは追加料金 AWS WAF なしで に含まれます。 AWS マネージドルールには、次のタイプのルールグループがあります。

  • ベースラインルールグループは、既知の不正な入力がアプリケーションに入らないようにしたり、管理ページへのアクセスを防ぐなど、さまざまな一般的な脅威に対して全般的な保護を提供します。

  • ユースケース固有のルールグループは、多種多様なユースケースに対して段階的な保護を提供します。

  • IP 評価レピュテーションリストは、クライアントの送信元 IP に基づく脅威インテリジェンスを提供します。

詳細については、「AWS の マネージドルール AWS WAF」を参照してください。

ルールの最適化とクリーンアップ

古いルールを再検討し、それらを書き換えたり、古いルールを削除して最適化することを検討してください。例えば、過去に OWASP Top 10 Web Application Vulnerabilities, Prepare for the OWASP Top 10 Web Application Vulnerabilities Using AWS WAF and Our New White Paper のテクニカルペーパーから AWS CloudFormation テンプレートをデプロイしたことがある場合は、それを AWS マネージドルールに置き換えることを検討する必要があります。ドキュメント内の概念は依然として適用可能であり、独自のルールの作成に役立つ場合がありますが、テンプレートによって作成されたルールは主に AWS マネージドルールに置き換えられています。

Amazon CloudWatch メトリクスおよびアラーム

Amazon CloudWatch メトリクスに再度アクセスして、必要に応じてアラームを設定します。移行では CloudWatch アラームが引き継がれないため、メトリクス名が目的のものとは異なる可能性があります。

アプリケーションチームとの確認

アプリケーションチームと協力して、セキュリティ体制を確認してください。アプリケーションによって頻繁に解析されるフィールドを調べ、それに応じて入力をサニタイズするルールを追加します。エッジケースをチェックし、アプリケーションのビジネスロジックがケースを処理できない場合にこれらのケースをキャッチするルールを追加します。

切り替えの計画

アプリケーションチームと切り替えのタイミングを計画します。古い保護パックまたはウェブ ACL の関連付けから新しい保護パックへの切り替えは、リソースが保存されているすべての領域に反映されるまでに少し時間がかかる場合があります。伝播時間は、数秒から数分までかかります。この間、一部のリクエストは古い保護パックまたはウェブ ACL によって処理され、他のリクエストは新しい保護パックまたはウェブ ACL によって処理されます。リソースは切り替え作業を通して保護されますが、その過程中にリクエスト処理に一貫性がないことに気付く場合があります。

切り替えの準備ができたら、「保護パックまたはウェブ ACL の移行: スイッチオーバー」の手順に従います。