AWS WAF 保護のテストの準備 - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF 保護のテストの準備

このセクションでは、 AWS WAF をセットアップして保護をテストおよび調整する方法について説明します。

注記

このセクションのガイダンスに従うには、 AWS WAF 保護パックやウェブ ACLs、ルール、ルールグループなどの保護を作成および管理する方法を一般的に理解する必要があります。この情報は、このガイドの前のセクションで説明しています。

テストを準備するには
  1. 保護パックまたはウェブ ACL のログ記録、Amazon CloudWatch メトリクス、および保護パックまたはウェブ ACL のウェブリクエストサンプリングを有効にする

    ログ記録、メトリクス、サンプリングを使用して、保護パックまたはウェブ ACL ルールとウェブトラフィックの相互作用をモニタリングします。

    • ログ記録 – 保護パックまたはウェブ ACL が評価するウェブリクエストをログ AWS WAF に記録するように を設定できます。ログを、CloudWatch ログ、Amazon S3 バケット、または Amazon Data Firehose 配信ストリームに送信できます。フィールドの修正やフィルタリングの適用も可能です。詳細については、「ログ記録 AWS WAF 保護パックまたはウェブ ACL トラフィック」を参照してください。

    • Amazon Security Lake – Security Lake を設定して、保護パックまたはウェブ ACL データを収集できます。Security Lake は、正規化、分析、管理のためにさまざまなソースからログとイベントデータを収集します。このオプションの詳細については、「Amazon Security Lake ユーザーガイド」の「Amazon Security Lake とは」および AWS 「サービスからのデータ収集」を参照してください。

    • Amazon CloudWatch メトリクス – 保護パックまたはウェブ ACL 設定で、モニタリングするすべてのメトリクス仕様を指定します。メトリクスは、 AWS WAF および CloudWatch コンソールから表示できます。詳細については、「Amazon CloudWatch によるモニタリング」を参照してください。

    • ウェブリクエストサンプリング – 保護パックまたはウェブ ACL が評価するすべてのウェブリクエストのサンプルを表示できます。ウェブリクエストサンプリングの詳細については、「ウェブリクエストのサンプルの表示」を参照してください。

  2. 保護を Count モードに設定します。

    保護パックまたはウェブ ACL 設定で、テストするすべてをカウントモードに切り替えます。これにより、テスト保護は、リクエストの処理方法を変更することなく、ウェブリクエストに対する一致を記録します。メトリクス、ログ、およびサンプリングされたリクエストで一致を確認し、一致条件を検証し、ウェブトラフィックにどのような影響があるかを理解することができます。一致するリクエストにラベルを追加するルールは、ルールのアクションに関係なくラベルを追加します。

    • 保護パックまたはウェブ ACL で定義されたルール – 保護パックまたはウェブ ACL のルールを編集し、それらのアクションを に設定しますCount。

    • ルールグループ – 保護パックまたはウェブ ACL 設定で、ルールグループのルールステートメントを編集し、ルールペインで、すべてのルールアクションを上書きドロップダウンを開き、 を選択しますCount。JSON で保護パックまたはウェブ ACL を管理する場合は、 を ActionToUseに設定して、ルールグループ参照ステートメントRuleActionOverridesの設定にルールを追加しますCount。次のリスト例は、AWSManagedRulesAnonymousIpList AWS マネージドルールルールグループの 2 つのルールのオーバーライドを示しています。

        "ManagedRuleGroupStatement": {
    "VendorName": "AWS",
    "Name": "AWSManagedRulesAnonymousIpList",
      "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "AnonymousIPList"
        },
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "HostingProviderIPList"
        }
      ],
      "ExcludedRules": []
    }
  },

      ルールアクションのオーバーライドの詳細については、「ルールグループ内のルールアクションのオーバーライド」を参照してください。

      独自のルールグループについては、ルールグループ自体のルールアクションを変更しないでください。ルールグループルールCountアクションは、テストに必要なメトリクスやその他のアーティファクトを生成しません。さらに、ルールグループを変更すると、それを使用するすべての保護パックまたはウェブ ACLs に影響しますが、保護パックまたはウェブ ACL 設定内の変更は単一の保護パックまたはウェブ ACL にのみ影響します。

    • 保護パックまたはウェブ ACL – 新しい保護パックまたはウェブ ACL をテストする場合は、リクエストを許可するように保護パックまたはウェブ ACL のデフォルトアクションを設定します。これにより、トラフィックに影響を与えずにウェブ ACL を試すことができます。

    一般的に、カウントモードは本番稼働よりも多くの一致が生成されます。これは、リクエストをカウントするルールが保護パックまたはウェブ ACL によるリクエストの評価を停止しないため、保護パックまたはウェブ ACL で後で実行されるルールもリクエストと一致する可能性があるためです。ルールアクションを本番設定に変更すると、リクエストを許可またはブロックするルールは、一致するリクエストの評価を終了します。その結果、一致するリクエストは通常、保護パックまたはウェブ ACL 内のより少ないルールによって検査されます。ウェブリクエストの全体的な評価に対するルールアクションの影響の詳細については、「でのルールアクションの使用 AWS WAF」を参照してください。。

    これらの設定では、新しい保護はウェブトラフィックを変更しませんが、メトリクス、保護パックまたはウェブ ACL ログで一致情報を生成し、サンプルをリクエストします。

  3. 保護パックまたはウェブ ACL をリソースに関連付ける

    保護パックまたはウェブ ACL がまだリソースに関連付けられていない場合は、関連付けます。

    AWS リソースとの保護の関連付けまたは関連付け解除」を参照してください。

これで、保護パックまたはウェブ ACL をモニタリングおよび調整する準備が整いました。