ConoHa Advent Calendar 2017 1日目の記事です。
こんにちは、しめさばです。
ConoHaのWAFが提供開始されたので使ってみました(今も使っています)。
WAF(Web Application Firewall)とは、Webサイト上のアプリケーション保護に特化したファイアウォールで、ユーザーからの入力を受け付けたり、リクエストに応じて動的なページを生成したりするタイプのWebサイトを不正な攻撃から守る役割を果たします。Webサイト上のアプリケーション自体にセキュリティ上の問題があってもそれを無害化できる点がメリットとされています。
WAFには保護対象のサーバにエージェントと呼ばれるソフトウェアをインストールして動作させる「エージェント型WAF」と、リバースプロキシ上で動作する「プロキシ型WAF」と、DNSレコードを書き換えてWAFシステムを経由してサーバに通信が到達するようにする「クラウド型WAF」と何種類かあり、ConoHaのWAFは後者の「クラウド型WAF」です。たぶんこれのOEMじゃないかと。
ちなみに、さくらインターネットのサービスで無償提供されているSiteGuard Liteは「エージェント型WAF」です。SiteGuard Liteという製品自体はプロキシライセンスを購入することで「プロキシ型WAF」として使用できますが、さくら版はライセンスの追加に対応していません。とはいえ本来有償の製品を無償提供しているのだから凄いのですが。
ConoHaのWAF設定
コントロールパネルからWAFを追加します(赤枠部分のボタンを押します)
WAFの詳細画面にIPアドレス・CNAMEが表示されますので、どちらかを設定します。
例えばこんな感じのDNS設定をします。
example.com
@ IN A [IPアドレス]
www IN CNAME [CNAME]
http://example.comのようにZONE Apexを使っている場合CNAMEレコードは設定できないため、IPアドレス直打ちになります。http://www.example.comのようにZONE Apexでない場合はCNAMEレコードを設定します。
ちなみにIPアドレスが1個だけなの、拠点冗長化とかされてるのか気になります。複数IPをDNSラウンドロビンさせるようなクラウド型WAFサービスもあるので。
ConoHaのWAF画面
WAFの管理画面は、ConoHaコントロールパネルとは独立しています。
こんな感じで遮断履歴が見れます。結構来ていることが可視化できるので、Webサイト運営している人は一度はWAFかましてみると良いでしょう。できればそのままWAFをかませて運用できるといいのですが、そこはコストとのトレードオフな面があると思います。
こんな感じのグラフィカルなレポートも表示できます。
ConoHaのWAFの悩ましいところ
かなりよくできている感じがするConoHaのWAFですが、このまま継続利用するか、利用終了するか悩んでいます。というのも、最近はブラウザがhttpのサイトに対して警告を出したりするようになったため、常時SSL化というのが必須という状況になっていきています。今保護しているサイトも常時SSL化対応しようとしているところです。しかしながら、ConoHaのWAFのSSLは高いです。RapidSSLが1620円/年で買える時代、ましてやLet's Encryptのような無料SSL証明書がある時代に、2000円/月は顧客層を考えても高いでしょう。SSLオフロードにコンピューティングリソースを使うのはわかりますし、ぼったくりではないと理解は示すものの「個人で使うとなると高いなぁ」と思う次第です。