【目次】
1. はじめに
レートベースルールの期間(Evaluation window)を選択できるようになりました。
AWS WAF enhances rate-based rules to support configurable time windows
期間の詳細については、以下のページに記載されていました。
Rate-based rule high-level settings
本ブログ記事では、レートベースルールの変更点について確認していきます。
2. レートベースルールの変更点
これまで、レートベースルールでレートをカウントする期間は5分で固定となっていましたが、この更新により60秒(1分)、120秒(2分)、300秒(5分)、600秒(10分)から選べるようになりました。
デフォルトは引き続き300秒(5分)です。
なお、レート制限の最小値が100であることに変わりはありません。
3. レートベースルールの設定方法
レートベースルールの設定方法については以下のブログ記事でご紹介していますので、あわせてご参考ください。
設定方法については上記と同じですが、今回の更新でEvaluation windowを選択する項目が追加されています。
AWS公式ドキュメントにも記載の通り、デフォルトは300(5分)ですので、特に選択肢を変更しなければこれまでと同じように100/5分〜での制限が可能となります。
なお、今回の更新でAWS公式ドキュメントに Rate-based rule caveats というページも追加されたようです。
このページではレートベースルールを利用する際の注意点が記載されており、レートベースの動作における注意点は以前から別のページに記載があったかとは思いますが、ルール変更時の影響については新しく記載されたものかと思います。
If you change any of the rate limit settings in a rule that’s in use, the change resets the rule’s rate limiting counts. This can pause the rule’s rate limiting activities for up to a minute. The rate limit settings are the evaluation window, rate limit, request aggregation settings, forwarded IP configuration, and scope of inspection.
上記を見ると、既存のレートベースルールの条件(期間やレート、集約オプションとキー、転送された IP 設定、検査の範囲)を変更した場合に、レート制限のカウントがリセットされ、かつレート制限の動作自体を最大1分ほど停止する場合があるようです。
既存のレートベースルールの動作状況に影響を与えたくないといった場合には、新規でレートベースルールを作成し、問題ないことを確認してから既存のレートベースルールを削除するといった対応が必要かもしれません。
4. WafCharmにおける対応
2024年3月5日現在、WafCharmの方ではこちらのアップデートに追随できておらず、対応中となります。
そのため、お客様の方でEvaluation windowに5分以外の値を指定したとしても、WafCharm側の自動更新処理によってデフォルトの5分に変更されてしまう点についてご注意ください。
ご不便をおかけし申し訳ありませんが、対応が完了次第ご案内致しますので今しばらくお待ちください。
5. おわりに
これまでレートベースルールには100/5分〜という制限がありましたが、期間を変更できることでより柔軟な設定が可能になりました。
以前の最小レートとなる100/5分でも誤検知が発生し正常なリクエストを意図せずブロックしてしまう可能性もあったため、1分や2分といった短い期間の場合は以前より注意して利用を検討する必要がありそうです。
レートベースルールではCOUNTアクションも選択できるため、最初はCOUNTで適用し、様子を見てからBLOCKに変更することも検討した方が良いかもしれません。