AWS WAF 保護のテストの準備 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS WAF 保護のテストの準備

このセクションでは、AWS WAF 保護をテストおよびチューニングするためのセットアップ方法について説明します。

注記

このセクションのガイダンスに従うには、保護パック (ウェブ ACL)、ルール、ルールグループなどの AWS WAF 保護の作成および管理方法を一般的に理解する必要があります。この情報は、このガイドの前のセクションで説明しています。

テストを準備するには
  1. 保護パック (ウェブ ACL) のログ記録、Amazon CloudWatch メトリクス、および保護パック (ウェブ ACL) のウェブリクエストサンプリングを有効にする

    ログ記録、メトリクス、およびサンプリングを使用して、保護パック (ウェブ ACL) ルールとウェブトラフィックとの相互作用を監視します。

    • ログ記録 — AWS WAF を構成して保護パック (ウェブ ACL) が評価するウェブリクエストをログに記録することができます。ログを、CloudWatch ログ、Amazon S3 バケット、または Amazon Data Firehose 配信ストリームに送信できます。フィールドの修正やフィルタリングの適用も可能です。詳細については、「ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック」を参照してください。

    • Amazon Security Lake – Security Lake を設定して、保護パック (ウェブ ACL) データを収集できます。Security Lake は、正規化、分析、管理のためにさまざまなソースからログとイベントデータを収集します。このオプションの詳細については、「Amazon Security Lake ユーザーガイド」の「What is Amazon Security Lake」および「Collecting data from AWS services」を参照してください。

    • Amazon CloudWatch メトリクス — 保護パック (ウェブ ACL) 設定で、監視するすべてのメトリック仕様を指定します。AWS WAF と CloudWatch コンソールでこれらのメトリクスを表示することもできます。詳細については、「Amazon CloudWatch によるモニタリング」を参照してください。

    • ウェブリクエストサンプリング — 保護パック (ウェブ ACL) が評価するすべてのウェブリクエストのサンプルを表示できます。ウェブリクエストサンプリングの詳細については、「ウェブリクエストのサンプルの表示」を参照してください。

  2. 保護を Count モードに設定します。

    保護パック (ウェブ ACL) 設定で、テストするものをカウントモードに切り替えます。これにより、テスト保護は、リクエストの処理方法を変更することなく、ウェブリクエストに対する一致を記録します。メトリクス、ログ、およびサンプリングされたリクエストで一致を確認し、一致条件を検証し、ウェブトラフィックにどのような影響があるかを理解することができます。一致するリクエストにラベルを追加するルールは、ルールのアクションに関係なくラベルを追加します。

    • 保護パック (ウェブ ACL) で定義されているルール — 保護パック (ウェブ ACL) のルールを編集し、アクションを Count に設定します。

    • ルールグループ — 保護パック (ウェブ ACL) 設定で、ルールグループのルールステートメントを編集し、[Rules] (ルール) ペインで [Override all rule actions] (すべてのルールアクションをオーバーライド) ドロップダウンを開いて [Count] 選択します。JSON で保護パック (ウェブ ACL) を管理する場合、ルールグループ参照ステートメントで RuleActionOverrides 設定にリールを追加し、ActionToUse を Count に設定します。次のリストの例では、AWSManagedRulesAnonymousIpList AWS マネージドルールのルールグループ内で 2 つのルールのオーバーライドを示しています。

        "ManagedRuleGroupStatement": {
    "VendorName": "AWS",
    "Name": "AWSManagedRulesAnonymousIpList",
      "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "AnonymousIPList"
        },
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "HostingProviderIPList"
        }
      ],
      "ExcludedRules": []
    }
  },

      ルールアクションのオーバーライドの詳細については、「ルールグループ内のルールアクションのオーバーライド」を参照してください。

      独自のルールグループについては、ルールグループ自体のルールアクションを変更しないでください。ルールグループルールCountアクションは、テストに必要なメトリクスやその他のアーティファクトを生成しません。さらに、ルールグループを変更すると、それを使用するすべての保護パック (ウェブ ACL) に影響しますが、保護パック (ウェブ ACL) 設定内の変更は単一の保護パック (ウェブ ACL) にのみ影響します。

    • 保護パック (ウェブ ACL) — 新しい保護パック (ウェブ ACL) をテストする場合は、リクエストを許可する保護パック (ウェブ ACL) のデフォルトのアクションを設定します。これにより、トラフィックに影響を与えずにウェブ ACL を試すことができます。

    一般的に、カウントモードは本番稼働よりも多くの一致が生成されます。これは、リクエストをカウントするルールが保護パック (ウェブ ACL) によるリクエストの評価を停止しないため、保護パック (ウェブ ACL) で後で実行されるルールもリクエストと一致する場合があるためです。ルールアクションを本番設定に変更すると、リクエストを許可またはブロックするルールは、一致するリクエストの評価を終了します。その結果、一致するリクエストは通常、保護パック (ウェブ ACL) 内のより少ないルールで検査されます。ウェブリクエストの全体的な評価に対するルールアクションの影響の詳細については、「AWS WAF でのルールアクションの使用」を参照してください。。

    これらの設定を使用すると、新しい保護によってウェブトラフィックは変更されませんが、メトリクス、保護パック (ウェブ ACL) ログ、およびリクエストサンプルで一致情報が生成されます。

  3. 保護パック (ウェブ ACL) をリソースに関連付ける

    保護パック (ウェブ ACL) がリソースに関連付けられていない場合は、関連付けます。

    保護と AWS リソースの関連付けまたは関連付けの解除」を参照してください。

これで、保護パック (ウェブ ACL) を監視してチューニングする準備ができました。