はじめに
IBM Cloud で利用可能なCloud Internet Service(CIS)のWebアプリケーションファイアウォール(WAF)機能で2024年6月12日に新しい管理対象ルール機能がリリースされました。
これにより新しくなったルールセットであるCIS Managed RulesetやOWASPコアルールセット3.0が利用可能になります。
また、新しい管理対象ルールには新規マッチングエンジンの使用によるルール配布の高速化やルール構成の改善による誤検出率の低下など様々なメリットが存在します。より詳細な情報は以下のdocsもしくはCloudflareのブログを参照ください。
docs:管理対象ルールの概要
cloudflareブログ:新しいCloudflare Webアプリケーションファイアウォール
本記事では新しいWAFのマイグレーション手順を記載します。
手順はdocs:管理対象ルールへのマイグレーションを参照しています。
新旧WAF画面比較
旧WAF画面
CISルールセット
それぞれの項目でルールの有効・無効が設定可能
OWASPルールセット
新WAF画面
CIS Managedルールセットはデフォルトで以下に設定されています。
右上の「ルールの参照」ボタンからオーバーライドルールの追加を行うことが可能です。
また、それぞれのルールに対しアクションが「監視対象チャレンジ」「ブロック」「JSチャレンジ」「対話式チャレンジ」の4つから選択することができるようになります。
アクションについての詳細はdocs:WAF のアクションを参照ください。
注意点
新しいWAFへとマイグレーションする際は以下の点を注意してください。
- 2024 年 6 月より後に作成されたインスタンスは自動的にマイグレーション後の新しいWAFとなります
- 既存のCISのインスタンスに関しては、2025年06月12日までに移行する必要があります。しない場合は自動的にマイグレーションが実行されます
更新手順
更新概要
docs:管理対象ルールへのマイグレーションを参考にWAFのマイグレーションを実施します。
大まかな流れとしては、「新規WAFの構成」→「詳細なルールセットの構成」で実施します。
特にルールセットを設定しないのであればすぐにマイグレーションを実施することが可能です。
手順
まずはCISの「セキュリティ」→「WAF」を選択しWAFの設定画面に移動します。
WAFの更新がまだの場合は画面中央に「新規WAFへの更新」と表示されているので、構成の確認を押します。
WAF更新後の構成の確認画面が表示されます。
ルールセット一覧として、「CIS Managed Ruleset」と「CIS OWASP Core Ruleset」の2つのグローバルルールが表示されます。
例外ルールを作成している場合は例外ルールも新規構成に含まれます。
それぞれのルールセットの青文字の名前をクリックすることでそのルールセットに含まれているルールを確認することができ、ルールの追加・有効化・無効化が可能です。
最後にWAFマイグレーションの完了の確認画面が出るので、「移行」ボタンを押してマイグレーションが完了です。(マイグレーション後は元に戻すことができません)
WAFマイグレーション完了後、WAFの画面が新しいものに更新されていることが確認できます。
WAFマイグレーション時と同様にルールセット名をクリックすることでルールの追加・有効化・無効化が可能で、右上の「例外を追加」ボタンで例外ルールを追加することができます。
最後に
本記事では新しいWAFのマイグレーション方法について紹介しました。
実施した手順ではルールの追加を行わなかったため、ほぼ移行時間なくWAFをマイグレーションすることができました。
ただし、ルールを大量に追加する場合はエラーの発生もしくはマイグレーションに時間がかかる可能性があります。その場合はIBMのサポートに問い合わせてみてください。