1. AWS WAFとは
AWS WAFとは、ウェブアプリケーションの通信内容を検査し、不正なアクセスを遮断するサービスです。ウェブアプリケーションの脆弱性を悪用した攻撃などからウェブアプリケーションを保護することが目的であり、AWS WAFはALB、CloudFront、API Gatewayに紐付けされます(EC2には直接適用できません)。
2. Web ACLとは
AWS WAFは、Web ACL と呼ばれるルールの集合体を定義することで、攻撃に対する戦略を定義します。ルールは、ステートメント(リクエストを検査するための条件の定義)、アクション(条件に一致したリクエストの処理方法)により構成されます。Web ACLで設定できるルール数には上限があり、ルールに紐づくWeb Capacity Unit(WCU)の合計値が決まっています。
3. マネージドルールとは
WAF WAFでは、AWSが準備したマネージドルールもしくはサードパーティが作成したルールをセットします。ここのサイトがとても分かり易いので、この内容を以下に抜粋します。こちらも分かり易い。
Core Rule Set
一般に Web アプリケーションに適用されるルールが含まれています。これにより、OWASP の出版物や一般的な Common Vulnerabilities and Exposures( CVE )に記載されているものを含む、広範な脆弱性の悪用に対する保護が提供されます。
Admin Protection
公開された管理ページへの外部アクセスをブロックできるルールが含まれています。
これは、サードパーティのソフトウェアを実行している場合や、悪意のある攻撃者が
アプリケーションへの管理アクセス権を取得するリスクを軽減したい場合に役立ちます。
Known Bad Inputs
無効であることがわかっており、脆弱性の悪用または発見に関連付けられている要求パターンを
ブロックできるルールが含まれています。これにより、悪意のある攻撃者が脆弱なアプリケーションを発見するリスクを減らすことができます。
SQL Database SQL インジェクション攻撃など、SQL データベースの悪用に関連する要求パターンをブロックできるルールが含まれています。これにより、不正なクエリのリモート注入を防ぐことができます。
LINUX operating system
Local File Inclusion( LFI )攻撃など、Linux 固有の脆弱性の悪用に関連する要求パターンをブロックするルールが含まれています。これにより、ファイルの内容を公開したり、攻撃者が
アクセスすべきではないコードを実行したりする攻撃を防ぐことができます。
POSIX Operating System Local File Inclusion( LFI )攻撃を含む POSIX / POSIX ライクな OS に固有の脆弱性の悪用に関連するリクエストパターンをブロックするルールが含まれています。これにより、ファイルの内容を公開したり、アクセスを許可しないコードを実行したりする攻撃を防ぐことができます。
Windows Operating System
Windows 固有の脆弱性( PowerShell コマンドなど)の悪用に関連する要求パターンをブロックするルールが含まれています。これにより攻撃者が許可されていないコマンドを実行したり、悪意のあるコードを実行したりする攻撃を防ぐことができます。
PHP Application
安全でない PHP 関数の挿入など、PHP の使用に固有の脆弱性の悪用に関連する要求パターンをブロックするルールが含まれています。これにより、攻撃者がリモートでコードまたはコマンドを実行できるエクスプロイトを防ぐことができます。
WordPress Application
WordPress アプリケーショングループには、WordPress サイト固有の脆弱性の悪用に関連する
リクエストパターンをブロックするルールが含まれています。
Amazon IP Reputation
このグループには、Amazon 脅威インテリジェンスに基づくルールが含まれます。これは、ボットやその他の脅威に関連するソースをブロックする場合に役立ちます。
お客さんに提案するときは、こういった形(↓)で整理すると良いのだろうな。
以上