BLOG

2018/12/14

AWS WAF マネージドルール 入門編

【目次】
1. はじめに
2. まずはよくあるマネージドルールの説明から
3. メリット
4. デメリット
5. よくある誤解
6. 感想

【1. はじめに】
WafCharmというプロダクトを運営していると、下記のような質問をよく受けます。
「マネージドルールとどんな違いがありますか?」
「マネージドルールが運用しきれない。」
「WafCharmとマネージドルールを併用することはできますか?」

今回のブログはありきたりなことだけではなく、実際にマネージドルールを運用してきたWafCharmの中の人が本当に感じているメリットとデメリットを紹介していきます。

【2. まずはよくあるマネージドルールの説明から】
1 信頼できるセキュリティベンダー(f5・Imperva・TrendMicro・Alert Logic・Fortinet・Trustwave、2018年12月現在)が販売。
2 AWSマーケットプレイスで公開・販売されており、すぐにAWS WAFに適用できる。
3 マネージドルールの料金は、非常に安い。
4 マネージドルールではセキュリティベンダーが事前設定済みのルールを利用することができる。
5 マネージドルールはセキュリティベンダーによって自動的に更新されるため、ルールの運用から開放される。

AWS WAFを利用したことのないユーザ向けに④と⑤の良さをお伝えすると
AWS WAFはセルフサービスとして、防御するためのシグネチャ(ルール )をユーザ自身で作成し、何かあったらユーザ自身で更新する必要があります。

このような性質のサービスであったため、AWS WAFを単体で利用するには非常に敷居が高かったのが事実です。

しかし、マネージドルールの登場によって、AWS WAFの敷居がかなり下がりました!

【3. メリット】
▼価格が安い

ルール自体への課金額:数百円〜数千円のレンジ
100万ウェブリクエスト毎の課金額:数十円〜数百円のレンジ

”ルール自体への課金額”と”100万ウェブリクエスト毎の課金額”を合算したものが、マネージドルールの課金総額となります。

安価なものだと、数百円から利用できます!
この価格レンジは、アプライアンス型WAFやSaaS型WAFと比べると圧倒的に安いです!!

▼ルールがパッケージ化されているのでルール作成不要。選ぶだけ。
・購入したいマネージドルールを選ぶだけですぐに利用できます。
・どれくらいすぐに利用できるかは別ブログで紹介したいと思います。

【4. デメリット】
▼見えない。まるごと操作しかできない。
・ルールがブラックボックス。AWS WAFのルールを自分たちで作成した場合にはルールの中身がホワイトボックスになり、どうして検知したのかが分かります。一方のマネージドルールは、どのようなルールが入っているのか分かりません。

・誤検知が発生した際に、マネージドルールというルールの集合体をまるごとCOUNTモードに変更する必要がある。本来やりたいことは、誤検知してしまったルールだけをCOUNTモードに変更することですが、マネージドルールの場合にはそれができません。

▼サポートでどこまで対応してくれるか分からない。
・誤検知が発生した際に、どこまでサポートしてくれるか不明
・英語サポートのみで問い合わせすら不安

【5. よくある誤解】
▼自動更新してくれるから大丈夫。運用から解放される。
・自動更新するのはマネージドルールそのものだけです。マネージドルールでは足りずに、他に必要なルールを自分たちで追加した場合には、そのルールは自身で更新しなければいけません。

▼新規脆弱性に対応してくれてるはず。
・マネージドルールは商品毎にコンセプトがあります。コンセプトから外れている新規脆弱性については対応はしていないと考えた方が無難です。そして、マネージドルールでは対応していないクリティカルな脆弱性が発表された場合には、自分たちで防御できるルールを作成しなければいけません。

簡潔にいうと、マネージドルール提供事業者で対応してくれない他のところ全てを”セルフサービス”として、自社対応するしかないということになります。

【6. 感想】
AWS WAFのマネージドルールは、安いですし、すぐに利用できるという点で非常に使い勝手の良い製品だと考えています。
メリット・デメリットをしっかりと把握した上で、お試ししてみてはいかがでしょうか。