はじめに
2015年のre:Inventで「AWS WAF」が発表されました。
AWS WAFはアプリケーション用のファイアウォールで、IP address、SQL injection、String matchingに関するアクセスの制御ができます。
ただ、このサービスを利用するにはCloudFront経由でのアクセスにしか対応していないため、ELBやEC2にWAFを導入する場合はCloudFrontを配置する必要があります。
今回は既に作成済みの「waf-test-acl」にString matchingの設定を追加してみます。
その他の設定については以下を参照ください。
「AWS WAF」を導入してみた。- IP addresses編
「AWS WAF」を導入してみた。- SQL injection編
1.設定
まず、String matchingをクリックします。
「Create condition」をクリックします。
「Name」には任意のコンディション名を入力します。
また、Filter settingsの「Part of the request to filter on」でチェックしたいWeb要求、Match typeは部分一致や完全一致といった条件、「Transformation」でAWS WAFがリクエストをチェックする前に行う変換方式を指定。「Value is base64 encoded」は 「Value to match」にはチェックする文字列を入力します。入力が完了したら最後に「Add another filter」をクリックして条件に追加します。
Filters in this string match conditionへの追加が確認できたら「Create」をクリックして作成します。
conditionを作成したら、次に「Rules」をクリックします。
Rules設定画面が表示されたら「Create rule」をクリックしルールの作成を行います。
先ほどConditionsのSQL injectionで作成したルールを設定し、完了したら「Create」をクリックします。
ルールの作成が完了したら「Web ACLs」をクリックします。
今回ルールを追加する対象のACL名をクリックします。
タブ「Rules」をクリックして「Edit web ACL」をクリックします。
「Rules」のプルダウンで今回作成したルールを選択し、「Add rule to web ACL」をクリックします。
すると”If a request matches all the conditions in a rule, take the corresponding action”に追加されます。今回はブロックをしたいため”Action”は「Block」をチェックし、「Update」をクリックします。
ルールが追加されました。「Requests」タブをクリックするとリクエストログが確認できます。
2.動作確認
今回は「test.txt」の文字列があるアクセスはブロックというルールを適用しました。なので例えば「http:///test.txt」へアクセスすると以下の画面が表示されます。
今回作成したルールによってフィルタリングがされているかを確認するには「Requests」から今回作成した"uri-string-block-rule"をプルダウンから選び、「Get new samples」をクリックします。
あとがき
つい先日、画面が変わったみたいです。(とりあえず2015/12/10には変わってました。)
「Requests」タブをクリックすると、マッチしたリクエストまたはルールについてのグラフが現れます。
確認したいリクエストやルールにチェックを入れるとそれについてグラフ化されます。もともとCloudWatchで確認できましたが、一つ一つ選択して確認しないといけなかったのと、CloudWatchの画面に移動しないといけなかったので、見やすくなってよかったかなと思います。
また、「Sampled requests」もルールごとに表示されるように変わりました。これについてはルールごとに表示は見やすくて良いのですが「ALL」みたいな全てを表示する項目があった方がより使いやすいなと感じました。また、以前は記載されていたルールに対しての処理(BlockしたのかAllowしたのか)が無くなってしまったので、そこも直感的に分かりづらくなって残念です。
ただWAFはリリースしたてというのもあり、今後もどんどん変化していくと思います。よりサービスの充実とともに使いやすくなることにも期待です。