AWS WAF用 AWS Managed Rules(AMR)とは?

AWS運用自動化サービス「Cloud Automator」

はじめに

こんにちは、技術5課の孔です。最近コロナで世界中のみなさんが大変な思いをされてます。一刻も早くこの騒ぎが収まるといいですね。私達にできることはこれ以上ウィルスが拡散しないよう、「私達もかからない・かかっても移さない」を念頭に置いて生活することが大事かと思います。そのためにまず私達にできることはマスクを着用することだと思いますが、大切なサーバたちもウィルスに感染しないようにマスクをしっかり着用する必要がありますね。サーバのマスクとなる、AWS Web Application Firewall(WAF)の新機能AWS Managed Rules(AMR)についてこれからお話させていただきたいと思います。

テーマは以下となります。

  1. AWS Managed Rules(AMR)とは
  2. AMRの設定方法手順
  3. AMRのメリット・デメリット
  4. 料金

それでは、さっそくAMRとはどのようなものなのか見ていきましょう!

AWS Managed Rules(AMR)とは

AWS Managed Rulesは、2019年11月末に発表(日本語のブログは12月上旬になってますが、英語版は11月となります)されたAWS WAFの追加機能となります。主な機能としては既存のAWS WAFのルール設定に組み込み可能なマネージドルールを追加できる機能となります。

既存のAWS WAFを利用するときには、自分でファイヤーウォールのルールを作成して適用するのが一般的でした。これが既存のWAFのルール設定ですね。そのルールの中に追加で第3者が事前に定義したマネージドルールを追加できるようになったのが、このAMRという機能となります。

AMRが登場するまでは、利用者が自分たちでカスタムルールを作成するか、サードパーティのWAF運用サービスを使用するかしか選択肢がなかったですね。AMRが登場したことによって、AWS WAFを設定する際に選択肢が増え、より利用環境に適した設定ができるようになりました。

AMRの設定方法手順

AWS WAFでAMRを設定するのは驚くほど簡単です!たった数クリックで設定できますので、とても便利です。以下その手順となります。

1. まずWAFの画面に入り、新しいルールを作ります。

2. 今までと同じようにWeb ACLの名前、リージョンなどの基本設定を行います。

3. ルールを追加します。ルールのタイプをmanaged rule groupsに選択します。

4. 追加したいmanaged ruleを選択します。今回は「core rule set」を選択しました。core rule setはOWASP top 10に基づき、一般的に知られている脅威に対してのルールとなります。

5. これで設定完了です。以下のように指定したルールが反映されているかを確認し、設定を完了してください。

たった数クリックでOWASP top 10やCVEなどの対応ができるルールの設定ができました。とても楽ですね!

AMRのメリット・デメリット

それでは、次はAMRを使うメリット・デメリットを見てみましょう。

まずメリットとしては以下のようなものがあります。

  1. OWASP top 10などといった、基本的に対策しなければならない脅威に対してのルールを簡単に設定できるので、ルールを作る時間短縮
  2. OWASP top 10やCVEなどがアップデートされた際に、マネージドルールを提供する側でルールをアップデートしてくれるので、運用の時間も短縮

一方、デメリットとしてはこのようなものがあります。

  1. AWS以外の業者が提供するマネージドルールの場合には追加料金がかかる(後でもう少し詳しく説明します)
  2. マネージドルールの中身を確認することができないため、何をしてくれるルールなのかはわかるけどどのようなルールが適用されているのかは確認できない

メリット・デメリットを良く考えて、環境にあった使い方をすることが一番大事ですね。

料金

先程、AWS以外の業者が提供するマネージドルールには追加料金がかかるとお話しました。まず、AWS WAFの料金はこちらのリンクに記載されています。こちらのリンクを見てみるとマネージドルールに関する追加料金のルールは以下のようなものとなります。

AWS WAF の AWS マネージドルールを使用するための追加料金はありません。AWS Marketplace 出品者により提供されるマネージドルールグループをサブスクライブするとき、出品者による料金設定に基づいて追加料金が請求されます。この料金は、上記の AWS WAF 料金に加えて請求されます。

つまり、AWSが提供しているマネージドルールは無料(基本料金はかかります!)で使えるが、Marketplaceに出品している業者によるマネージドルールに対してはその業者が設定した料金が基本料金に追加される、とのことですね。実際の計算方式は以下のようなものとなります。


1 か月あたり 1000 万件のリクエストのトラフィックが発生するウェブアプリケーションがあるとします。出品者が、マネージドルールの料金を月額 20.00 ドル (1 時間ごとに按分) およびマネージドルールによって表示および処理される 100 万件のリクエストごとに 1.20 USD に設定するとします。

  • マネージドルール料金 = 20.00 USD
  • マネージドルールリクエストの料金 = 1.20 USD / 100 万 * 1000 万 = 12.00 USD
  • AWS Marketplace の合計料金 = 32.00 USD / 月

が基本料金にプラスされる追加料金となります。


ついでに、現在(2020.3.30)Marketplaceに登録されている3社のマネージドルールの料金も調べてみました。(全て税別料金となります)


  1. Cyber Security Cloudが提供している「API Gateway/Serverless」と「HighSecurity OWASP Set」の料金 (同等)
    マネージドルール料金 = 25.00 USD/月
    マネージドルールリクエストの料金 = 1.20 USD / 100 万
  2. Fortinetが提供している「Complete OWASP Top 10」の料金
    マネージドルール料金 = 30.00 USD/月
    マネージドルールリクエストの料金 = 1.80 USD / 100 万
  3. GeoGuardが提供している「DB – IP Fraud Detection」の料金
    料金体系が上記とは異なり、月ごとにライセンス料金を支払うことになります
    マネージドルール料金 = 5,000.00 USD/月

思ったより安いですね。「安心をもっと安く。」の実現なのでしょうか。以上でAMRの説明は終わりにしたいと思います。

最後に

AMRはとても便利ですね。みんなが対策せねばならない共通の脆弱性に関しては、みんな自分たちで作るより誰かが作ったルールをみんなで共有したほうがきっと幸せになりますね。ただし、AMRはあくまでも一般的な脅威に対してのファイヤーウォールのルールとなりますので、自分の環境を考えて追加で必要なルールがあればしっかりカスタムルールを追加しなければなりません。目的と現状をちゃんと見てどこまでAMRでカバーし、どこから自分でカスタムルールを適用するかを考えましょう!

蛇足ですが、この前発表されたBlackbeltに、AWS WAFのアップデートに関する資料がありました。こちらにAMRの内容も載っていたので、ご興味のある方はぜひ見てみてくださいね!(こちらのリンクで確認できます)

それでは、皆さんウィルスにはお気をつけてくださいね!マスク、手を洗う、うがいを忘れずに!

AWS運用自動化サービス「Cloud Automator」