マネージドルールグループのバージョン処理に関するベストプラクティス - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

マネージドルールグループのバージョン処理に関するベストプラクティス

バージョン管理されたマネージドルールグループを使用する場合は、このベストプラクティスのガイダンスに従ってバージョニングを行ってください。

ウェブ ACL でマネージドルールグループを使用する場合は、ルールグループの特定の静的バージョンを使用するか、デフォルトバージョンを使用するように選択できます。

  • デフォルトバージョン – AWS WAF は、常にデフォルトバージョンをプロバイダーが現在推奨している静的バージョンに設定します。推奨される静的バージョンをプロバイダーが更新すると、AWS WAF は、ウェブ ACL のルールグループのデフォルトバージョンの設定を自動的に更新します。

    マネージドルールグループのデフォルトバージョンを使用する場合は、ベストプラクティスとして次の手順を実行します。

    • 通知をサブスクライブする – ルールグループへの変更に関する通知をサブスクライブし、それらを監視します。ほとんどのプロバイダーは、新しい静的バージョンとデフォルトバージョンの変更について事前通知を送信します。これにより、AWS がデフォルトバージョンを切り替える前に、新しい静的バージョンの影響を確認できます。詳細については、「新しいバージョンとアップデートの通知を受け取る」を参照してください。

    • デフォルトを新しい静的バージョンに設定する前に、その影響を確認し、必要に応じて調整する – デフォルトを新しい静的バージョンに設定する前に、ウェブリクエストのモニタリングと管理に対する静的バージョンの影響を確認します。新しい静的バージョンには、確認する新しいルールが含まれている可能性があります。ルールグループの使用方法を変更する必要がある場合に備えて、誤検出やその他の予期しない動作を見つけます。例えば、新しい動作の処理方法を把握しながら、トラフィックをブロックしないようにするために、ルールをカウントに設定できます。詳細については、「AWS WAF 保護のテストとチューニング」を参照してください。

  • 静的バージョン – 静的バージョンを使用する場合は、ルールグループの新しいバージョンを採用する準備ができたら、バージョン設定を手動で更新する必要があります。

    マネージドルールグループの静的バージョンを使用する場合は、ベストプラクティスとして次の手順を実行します。

    • バージョンを最新の状態に保つ – マネージドルールグループを可能な限り最新バージョンに近いものにします。新しいバージョンがリリースされたら、それをテストし、必要に応じて設定を調整し、適時に実装してください。テストについては、「AWS WAF 保護のテストとチューニング」を参照してください。

    • 通知をサブスクライブする – ルールグループに対する変更に関する通知をサブスクライブして、プロバイダーが新しい静的バージョンをいつリリースするかを把握します。ほとんどのプロバイダーは、バージョン変更に関する事前の通知を提供します。さらに、セキュリティホールをふさぐため、またはその他の緊急の理由で、使用している静的バージョンをプロバイダーが更新する必要がある場合があります。プロバイダーの通知をサブスクライブすると、状況について知ることができます。詳細については、「新しいバージョンとアップデートの通知を受け取る」を参照してください。

    • [Avoid version expiration] (バージョンの有効期限切れを回避する) - これ使用している間は、静的バージョンの有効期限が切れないようにします。期限切れのバージョンのプロバイダーによる処理はさまざまであり、使用可能なバージョンへのアップグレードの強制や、予期しない結果をもたらす可能性のあるその他の変更が含まれる場合があります。AWS WAF 有効期限メトリクスを追跡し、サポートされているバージョンに正常にアップグレードするのに十分な日数をもってアラームが送信されるよう設定します。詳細については、「バージョンの有効期限の追跡」を参照してください。