CloudFrontの統合セキュリティダッシュボードを試してみた
2023年11月10日、 Amazon CloudFront で利用する AWS WAFの一般的な設定や、稼働状態を把握できる 統合セキュリティダッシュボード (unified security dashboard) が利用可能になるアップデートがありました。
- Amazon CloudFront announces unified security dashboard
- Introducing CloudFront Security Dashboard, a Unified CDN and Security Experience
今回、新しく追加されたダッシュボードを試す機会がありましたので、紹介させていただきます。
統合セキュリティダッシュボード
CloudFront ディストリビューション設定、「セキュリティ」タブの機能がアップデートされました。
AWS WAF 設定
CloudFrontで利用する AWS WAF の設定が可能になりました。
- AWS WAF の有効化、ワンクリックセキュリティ保護が利用可能です。
- 保護を無効とする事で、ワンクリックセキュリティで作られたWAF設定は解除、ACLも削除されます。
- 作成済みの WAF ACLを指定して、既存の保護設定を流用する事も可能です。
保護モードの変更
ワンクリックセキュリティ設定時、モニターモードを指定していた場合、その解除が可能です。
- ワンクリックセキュリティで設定されたルールのアクション 「Override rule group action to count」が解除され、該当ルールによるブロックが有効になります。
- 再度モニターモードに戻す必要がある場合、WAF保護の無効化、再設定で ワンクリックセキュリティを再設定するか、 AWS WAFの設定画面を利用します。
トレンド表示
指定した時間帯に、処理されたリクエストの内訳が確認可能です。
- モニターモード(Countのみ)で WAFを通過したリクエストの件数は「Allow reqeust」に含まれるようでした。
ブロック実績の確認
ブロックを行ったマネージドルール、レートルールと、リクエスト元の国情報が確認できます。
AWS WAFのブロックを発動させるため、以下の検証コードをオレゴン、シンガポールのCloudShellで実行しました。
- AWSManagedRulesKnownBadInputsRuleSet
TEST_URL='https://####.cloudfront.net/search/'
for i in {0..3}
do
curl ${TEST_URL} -o /dev/null -w '%{http_code}\n' -s
done
- レートルール
TEST_URL='https://####.cloudfront.net/search/'
for i in {0..1000}
do
curl ${TEST_URL} -o /dev/null -w '%{http_code}\n' -s
done
Botリクエスト
ボットプロテクションのルールの設定有効化と、 ボットプロテクションを利用中、そのレポート情報を確認可能になりました。
特定カテゴリーに分類されたBotからのリクエスト対するアクション設定が可能です。 - 検索サイトのBotは許可を明示 - 広告関係と判定されたBotはブロックや、チャプターを求める
などの設定が、WAFの管理画面に遷移せず可能となりました。
WAFログ設定
CloudWatch Logs への WAFログ出力設定が可能になりました。
まとめ
CloudFrontで利用する AWS WAF、初期設定や 利用時に必要な情報の把握、統合セキュリティダッシュボードで簡単に実施する事が可能になりました。
なお、統合セキュリティダッシュボードで不足する、 AWS WAFの詳細設定、除外ルールの調整については、AWS WAFの管理画面。 WAFログな詳細な調査が必要な場合、従来どおり CloudWatch Logs Insight、Athena などのサービスをご活用ください。
