CloudFront セキュリティダッシュボードで AWS WAF セキュリティ保護を管理する - Amazon CloudFront

CloudFront セキュリティダッシュボードで AWS WAF セキュリティ保護を管理する

CloudFront はディストリビューションごとにセキュリティダッシュボードを作成します。ダッシュボードは、CloudFront コンソールで使用します。ダッシュボードにより、CloudFront と AWS WAF を 1 か所で使用して、ウェブアプリケーションの一般的なセキュリティ保護をモニタリングおよび管理できます。ダッシュボードは、以下のタスクとデータを提供します。

  • セキュリティ設定 – AWS WAF 保護を有効または無効にし、WordPress 保護などのアプリケーション固有の保護を確認できます。

  • セキュリティトレンド – 許可されたリクエストとブロックされたリクエスト、チャレンジリクエストとキャプチャリクエスト、上位の攻撃タイプが表示されます。トラフィックの比率と、その経時的な変化を確認できます。例えば、すべてのリクエストが 3% 増加し、許可されたリクエストが 14% 増加した場合、現在の期間でトラフィックを許可した割合が高かったことになります。

  • ボットリクエスト – ボットからのトラフィック量、ボットタイプ (検証済みと未検証)、ボットタイプの割り当て率 (検証済みと未検証) が時間の経過に伴ってどのように変化するかを確認できます。Bot Control の有効化の詳細については、「Bot Control を有効にする」を参照してください。

  • リクエストログ – ログデータは、セキュリティトレンドやボットリクエストに関する質問に回答するのに役立ちます。クエリを作成しなくてもログを検索し、集計グラフを表示できるため、フィルタリングされた一連のログが主に HTTP メソッド、IP アドレス、URI パス、または国のサブセットによって処理されているかどうかを判断できます。グラフの値にカーソルを合わせると、IP アドレスや国をブロックできます。詳細については、「AWS WAF のログを有効にする」を参照してください。

  • 地理的制限の管理 — CloudFront と AWS WAF は、地理的制限機能を提供します。CloudFront は地理的制限を無料で提供しますが、CloudFront の地理的制限のメトリクスはセキュリティダッシュボードに表示されません。ブロックされた国のリクエストに関するリクエストメトリクスを表示するには、AWS WAF の地理的制限を使用する必要があります。この場合は、セキュリティダッシュボードの国バーにカーソルを合わせ、国をブロックします。詳細については、「CloudFront の地理的制限を使用する」を参照してください。

    • 以前に CloudFront コンソールの外部で国をブロックするようにカスタムの AWS WAF ルールを作成している場合、[ブロック] オプションは使用できないことがあります。

前提条件

CloudFront の [セキュリティ] ダッシュボードにセキュリティメトリクスを表示するには、AWS WAF を有効にする必要があります。AWS WAF を有効にしない場合、[セキュリティ] ダッシュボードでは AWS WAF を有効にするか、CloudFront の地理的制限を設定することだけができます。

AWS WAF の有効化の詳細については「ディストリビューションで AWS WAF を有効にする」をご覧ください。

AWS WAF のログを有効にする

AWS WAF のログデータは、特定のトラフィックパターンを切り分けるのに役立ちます。例えば、特定のトラフィックがどこから来ているのか、何をするのかをログで確認できます。

CloudWatch への AWS WAF のログ記録を有効にすると、CloudFront セキュリティダッシュボードは、CloudWatch ログのインサイトをクエリ、集計、表示します。セキュリティダッシュボードの使用には料金がかかりませんが、ダッシュボードからクエリしたログには CloudWatch の料金が適用されます。詳細については、「Amazon CloudWatch 料金表」をご覧ください。

ログを有効にするには
  1. [1 か月あたりのリクエスト数] ボックスに予想されるリクエスト量を入力して、ログを有効にした場合のコストを見積もります。

  2. [AWS WAF ログを有効にする] チェックボックスをオンにします。

  3. [Enable(有効化)] を選択します。

CloudFront は CloudWatch ロググループを作成し、AWS WAF 設定を更新して CloudWatch へのログ記録を開始します。最初に使用する場合は、ログデータが表示されるまでに数分かかります。グラフの [リクエスト] セクションに、各リクエストが一覧表示されます。各リクエストの下にある棒グラフは、HTTP メソッド、上位の URI パス、上位の IP アドレス、上位の国ごとにデータを集計します。グラフは、パターンを確認するのに役立ちます。例えば、1 つの IP アドレスからの不釣り合いに多いリクエストや、以前はログに表示されていなかった国のデータを確認できます。ホストヘッダー、その他の属性に基づいてリクエストをフィルタリングすると、不要なトラフィックを見つけやすくなります。不要なトラフィックを特定したら、各リクエストやグラフ項目にカーソルを合わせ、IP アドレスまたは国をブロックします。

注記

表示されるメトリクスは、ACL に基づいています。したがって、同じウェブ ACL を複数のディストリビューションに関連付けると、該当するディストリビューション用に処理された AWS WAF リクエストだけでなく、ウェブ ACL のすべてのメトリクスが表示されます。