目次
1. はじめに
2021年08月09日 PTD にてマネージドルールのバージョン機能がリリースされました。
今まではユーザーの感知しないタイミングでルールの更新が行われていましたが、
今後はバージョン更新のタイミングや内容がベンダーや AWS から通知されるようになり、ユーザーはそれに基づいてバージョンの選択が可能となりました。
https://aws.amazon.com/jp/about-aws/whats-new/2021/08/aws-waf-offers-managed-rule-group-versioning/
2. マネージドルールとは
まず本題に入る前にマネージドルールをおさらいしましょう。
マネージドルールとは、事前に定義されたルールセットであり ACL に適用するだけで様々なルールを自分で作成することなく利用できます。
AWS が用意したものだけでなく、サイバーセキュリティクラウド(CSC)含むセキュリティベンダーが用意したルールセットもあります。AWS が作成したものは、そのほとんどが無料で利用可能です。多くのルールセットは AWS Marketplace からサブスクライブすることで有償利用できます。
メリットは ACL に適用するだけで利用を開始できる手軽さです。
デメリットは誤検知した際など細かくルールを編集したい場合、対応できる選択肢が限られるといったことが挙げられます。
過去のマネージドルール 関連のブログも併せてご確認いただけると幸いです。
AWS WAF マネージドルール 入門編
https://www.wafcharm.com/jp/blog/blog_cat/managed-rules/
AWS WAF マネージドルールのサブスクリプション・適用・サブスクリプションのキャンセル手順
https://www.wafcharm.com/jp/blog/aws-waf-managed-rule-subscription-jp/
AWS Managed Rules の選び方
https://www.wafcharm.com/jp/blog/how-to-choose-aws-managed-rules/
AWS WAF でボットコントロール機能が利用可能になりました
https://www.wafcharm.com/jp/blog/aws-waf-bot-control-release-ja/
3. バージョン切り替えの方法
ACL に設定されている対象のマネージドルールの編集を選択します。
![auto](https://www.wafcharm.com/jp/wp/wp-content/uploads/2021/08/image4.png)
Version の項目で利用したいバージョンを選択します。
![auto](https://www.wafcharm.com/jp/wp/wp-content/uploads/2021/08/image1.png)
Default に設定している場合はベンダー推奨のバージョンが自動で更新される状態となります。
意図しないルールの変更によるご検知を気にされる場合は、 Default 以外を選択してバージョンを固定しましょう。
4. 更新通知の受け取り方法
更新通知は Amazon SNS によって行われます。
様々な方法で通知を受け取ることができます。
メールの受信だけでなく、slackへの通知やlambda での後続処理の設定なども可能です。
ACL の編集画面でマネージドルールの編集を選択すると Amazon SNS のサブスクライブ画面に遷移するリンクが存在します。
![auto](https://www.wafcharm.com/jp/wp/wp-content/uploads/2021/08/image2.png)
リンク先の Amazon SNS 側で ARN を指定して、連携先を登録すれば設定は完了…かと思いきやリージョンの違いによって SNS トピックのサブスクライブができないことがあります。
サブスクライブ画面に遷移後にマネージメントコンソールのリージョンを、この場合 Topic ARN の所在リージョンである us-east-1 に変更してから登録してください
リージョンが異なる場合、以下のエラーが表示されて登録できませんのでご注意ください。
![auto](https://www.wafcharm.com/jp/wp/wp-content/uploads/2021/08/image3.png)
5. バージョンの有効期限
多くの場合バージョンには有効期限が存在します。
ルールセットによっては有効期限がないこともあり得ます。
もしも利用しているバージョンの有効期限が切れた場合の挙動はルールセットの説明や、ベンダーへの問い合わせによって確認しましょう。
6. おわりに
ルールの変化による誤検知を気にされているユーザーにとっては非常に価値ある機能かと思います。バージョンを固定しつつ、時間のあるタイミングで更新内容を検証しながら最新版へ更新するといった運用が可能となります。
バージョンの有効期限がベンダー側でコントロールされるので、更新→検証を繰り返す運用を望まないのであれば、Default で常に最新の状態にしておくことも選択肢の一つです。これまで通りの Managed Rule の利用が可能です。
CSC で販売中のマネージドルールについてもバージョン機能に対応する予定です。