【目次】
1. はじめに
2024年10月28日に、AWS版WafCharmのAdvanced Ruleポリシーにて動的DenylistルールのアクションをWAF Config画面から変更いただける機能をリリースしました。
本記事では、新機能について見ていきたいと思います。
2. Advanced Ruleポリシーとは
Advanced Ruleポリシーは、WafCharmコンソール(管理画面)のリニューアルに伴いリリースした新しいRuleポリシーです。
リニューアル前にご提供していたルール構成はLegacy Ruleポリシー、リニューアルに伴いご提供を開始したルール構成はAdvanced Ruleポリシーという名称でご提供しております。
Advanced Ruleポリシーでは、一般的なWeb攻撃に対応するルールの提供はもちろんのこと、Bot対策ルールや、お客様自身で追加・削除が可能なレートベースルール、Geo-matchルールの設定などが追加されています。
※Advancedは新プランでのみご利用可能です。
リニューアルについてや、WafCharmルールについては、以下のページをご参考ください。
WafCharmコンソールをリリースしました
WafCharmルールについて (AWS WAF v2)
3. 動的Denylistルールとは
動的Denylistルールは、WafCharmが提供する以下2つの機能により動的にIPアドレスの登録・解除を行い、不審なIPアドレスをブロックするためのルールです。
- ログを数百ものシグネチャに再マッチング処理をしており、都度Denylist登録する機能
- 弊社独自のIPレピュテーションによるDenylist機能
これまでは動的Denylistルールは必ずBlockアクションで適用されていましたが、本リリースにより、Count/Blockいずれかのアクションを選択することや、必要に応じてルールアクションを変更することができるようになりました。
※デフォルトではBlockが有効になっているため、Countを利用されたい場合には設定時にCountをお選びください。
4. 動的Denylistルールアクション変更方法
WAF Configの作成時、あるいはルール設定の編集時にルールアクションの変更が可能です。
「IPアドレス」のタブ以下に「動的Denyリスト」というセクションがございますので、そちらよりご変更ください。
詳細については、 WAF Configのルール設定 (AWS WAF v2) のページもご確認ください。
なお、ルールアクションは、WafCharmコンソール上の設定が優先されます。
DenylistやAllowlistなど、WafCharmコンソール上でルールアクション選択の項目がないルールアクションは変更できません。
仮にAWSマネージメントコンソール上でルールアクションを変更した場合、定期的なタイミングでWafCharmがデフォルトで指定するアクション、もしくはWafCharmコンソール上で設定したアクションに上書きされます。ルールアクションの変更を行う場合は、必ずWafCharmコンソールからご実施ください。
5. おわりに
動的DenylistルールはこれまでデフォルトでBlockアクションにて適用されていたため、Countで様子見するといった対応が難しい状況でした。
しかしながら、本機能のリリースにより、導入初期はCountで様子見した上で、任意のタイミングでBlockに変更いただくことも可能となりました。
ルールアクションの変更はお客様の任意のタイミングでご実施いただけますので、必要に応じてご利用いただけますと幸いです。