CloudFrontにAWSWAFをコンソール上からワンクリックで作成し
適用してくれるようになっていたので設定してみました。
手順
1. ディストリビューションを作成をクリックします。
2. ウェブアプリケーションファイアウォール (WAF)項目がありますので、セキュリティ保護を有効にするにチェックを入れます。
するといくつかの項目が表示されます。
「Use monitor mode」にチェックを入れると「モニター モード」となり、
ブロックはせず、ブロックされるリクエストをカウントだけ行います。
実際にブロックを開始する場合はこちらを無効化します。
「価格見積もり」のプルダウンをクリックすると、
リクエスト数当たりの推定コストを確認することができます。
3. AWS WAFを確認してみるとCloudFrontで設定したWeb ACLsが作成されており3つのルールが適用されているようです。
適用されているルールは「OWASP Top 10」等に記載されている、一般的な脆弱性に対する保護を行ってくれるようです。
・AWS-AWSManagedRulesAmazonIpReputationList(Amazon IP 評価リストマネージドルールグループ)
・AWS-AWSManagedRulesCommonRuleSet(コアルールセット (CRS) マネージドルールグループ)
・AWS-AWSManagedRulesKnownBadInputsRuleSet(既知の不正な入力マネージドルールグループ)
【Amazon CloudFront がワンクリックセキュリティ保護をリリース】
https://aws.amazon.com/jp/about-aws/whats-new/2023/05/amazon-cloudfront-one-click-security-protections/
終わりに
いかがでしょうか。
ワンクリックで簡単にAWSWAFの設定ができるようになったので、
最小限のセキュリティを行う必要がある場合、利用するのも手段の一つですね。