AWS WAFに待望のマネージドルールが！

来ましたねー！

https://aws.amazon.com/jp/mp/security/WAFManagedRules/

怖かったので、一旦お試しで入れてみました。

項目増えてますね。

11ルールがありました。

特化したもの、汎用性が高そうなもの(OWASP TOP 10とか)があります。

価格も$5～$50とお手頃。 unit単位でなんだろうと思いますが、基本は時間単位ですね。 リクエスト多いと追加課金走りそうなので、コスト予測は気を付けておかないと…。

とりあえず一個入れてみる。

適用設定は、他のRuleと同じくWebACLから行います。

内容に応じてAction設定を行います。

設定できました！

もちろん、複数のRuleに適用可能です。 ※例では[DoS-Protect-Test]に設定していたマネージドRuleを、[WebACL-test]にも適用しています

マネージドRuleは時間課金なので、不要になったり必要でないルールの場合は、各アカウントのサブスクリプション管理画面からキャンセルなど出来ます。

注意 マネージドルールをキャンセルする場合は、適用済みのWebACLから先に削除しておく事をお勧めします。 というのも、先にマネージドルールをキャンセルしても、WebACL内には追加したRuleが残っているのですが、後から外そうとしてもエラーになってしまい、キャンセルしたマネージドルールを外せません。

まとめ

これはWAF利用の敷居をグッと下げますね。 色々ある環境だと特化したルールを入れられないかもしれませんが、用途に合わせて必要なルールを購入して適用しておくと、環境のセキュア度合いが手軽に上げられますね。 管理しなくて良いのもありがたい。

ただ、どういうポリシーになってるかはベンダーのnoteとか見て確認しておかないと、 障害ポイントになってしまいますね。

後はコスト感との兼ね合いで。