CISのクラウドWAF経由でWEBサーバーにアクセスする。WAF以外からのアクセスは拒否しなければならない。
WEBサーバーのファイアウォール(セキュリティグループ)で、WAFからWEBサーバーへのソースIPアドレスだけ許可し、それ以外を拒否する。せっかくWAFを実装しているのに、WAFを迂回されたら意味がない。図にするとこんな感じ。この時、WAFのIPアドレス帯を知るにはどうするのか。
WEBサーバーのアクセスログを取得したら…
クラウドWAFからのIPアドレスは「103.xx.xx.xx」と「108.xx.xx.xx」の2つあった。冗長化されているのかな、IPアドレスが変わらないという保証もないし、これをファイアウォールに登録するだけでは不十分。
IPアドレスのレンジが掲載されていた。
沢山あった。面倒だが仕方ない。”FromCloudFlare”というセキュリティグループを作ることにした。TLS暗号化は検証用として[クライアントからエッジ(WAF)]モードにしたのでtcp80を許可したが、TLS暗号化を[エンドツーエンド]にするならtcp443ですね。
<>
アクセス許可・拒否の検査をしたら終了。
PCからWAF経由でWEBサーバーへアクセスしたら、WEB画面が表示された(合格)
PCからWAFを経由せず、直接WEBサーバーのIPアドレスにアクセスしたら、タイムアウトになった(合格)