【初心者向け】AWS WAFとは

2021.04.01
AWS
ALB, APIGateWay, AWS, Cloud Front, WAF, 初心者

AWS WAF は、アプリケーションの可用性低下、セキュリティの侵害、リソースの過剰消費などの
一般的なWebの虚弱性からWebアプリケーションを保護する、マネージド型のWebアプリケーションファイアウォールです。

1. WAFとは
2. 料金について
3. AWS WAFの適用範囲
- 3.1. 最新障害情報

WAFとは

WAFは「Web Application Firewall」の略で、これはWebサイト上のアプリケーションに特化したファイアウォールです。
主に、ユーザーからの入力を受け付けたり、リクエストに応じて動的なページを生成したりするタイプの
Webサイトを不正な攻撃から守る役割を果たします。
一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで分析できるのが特徴です。

Webサイト上のアプリケーション自体にセキュリティ上の問題があってもそれが無害化できるという利便性の高さから注目されていました。

料金について

AWS WAFサービスは基本利用料は無料です。ただし、従来オンプレミスで提供されていたWAF サービスのように、あらかじめ WAF定義は入っていません。
どのトラフィックを Web アプリケーションに許可またはブロックするかの WAFの定義をユーザー自身で行う必要があります。(AWSの考え方としてブロックするが基本です。許可したいのであれば自分で設定する必要があります)
SQL インジェクションまたはクロスサイトスクリプトのような一般的な攻撃パターンをブロックするカスタムルール、および特定のアプリケーションのために設計されるルールを AWS WAFに作成できます。

課金はユーザーが作成するカスタマイズ可能な Web セキュリティルールの指定に基づいて行われます。

・アクセスコントロールリスト(ACL)数に基づく課金方法
・Webアクセスコントロールリスト(ACL)ごとに追加するルールに基づく課金方法
・受け取る Web リクエスト数に基づく課金方法

AWS WAFに設定されたルールは数分以内にデプロイされ、トラフィックパターンの変化に素早く対応が可能です。
また AWS AWF にはフル機能の API が含まれています。この API により、 Web セキュリティルールの作成、デプロイ、メンテナンスを自動化することができます。
例えば、自分自身で AWF 定義を行った経験がない方は、サードパーティ（ AWS パートナー企業など）が提供する WAF定義設定サービスを利用し、従来のオンプレミスの WAFのように AWF 定義導入済みの状態で利用することができます。
これら AWF 定義設定サービスは AWS AWF の API を利用して Web セキュリティルールを設定しています。

AWS WAFの適用範囲

Web アクセスコントロールリストでの AWS WAFの適用サービスは CDN サービスのCloud Front、ロードバランサーの Application load balancer 、Amazon API Gateway から選択しアタッチします。

Amazon API Gateway
Amazon API Gateway API の運用管理の手間から解放されるフルマネージドサービスです。
ある独自のリストおよび Web socket API の作成、公開、保守、モニタリング、保護が簡単にでき、 AWS または他の WEB サービス、 AWS クラウドに保存されているデータにアクセスが行えます。

まとめ
・ AWS AWF はマネージド型の Wedアプリケーションファイアウォールサービス
・ AWS WAFの基本利用料無料。 Web セキュリティルールに基づき課金される。
・ AWS WAFの Web セキュリティルールはユーザーが設定する必要がある。
・適用サービスは Cloud FRONT、Application load balancer、API Gateway から選択する。