AWS WAF
導入要件
少なくともAWSを利用する必要がある。(当然ながら、AWSを使ってなければ、使えない)
AWSに関する構築ノウハウは必要になる。(AWSの用語が分かっていることや、IaCなど環境管理系) WAFの運用ノウハウは必要になる(ボタン一発で入って放置すればいいわけではない) AWS WAFを導入するためのシステム構成を整える必要がある。(どこにでも入れられるわけではない。ALBが必要等) メリット
比較的、低価格でWAFを導入できる
契約はAWSでまるっとまとめられる
デメリット
導入要件は多い
高価格のWAFベンダーは、構築ノウハウや、運用ノウハウも提供しつつ、可能な限り多くの環境に導入できるように柔軟に変更しているから高いのだろうな、という印象。
ルールの種類
個別ルール
ルールグループ(個別ルールの集合)
マネージドルール(AWSや第三者が管理しているルールグループ)
マネージドルール
参考
WCU(web ACL Capatity Unit)
WCUで許可されているユニット数までルールを登録できる。
キャパシティごとに課金されるわけではない。キャパシティを増やしたい場合は、問い合わせると増やしてくれる様子
誤検出を防ぐためのリリースプラクティス
1. ひとまず、ブロックせずにルールに引っかかるリクエスト数を数える状態で反映する
2. AWS WAFのログなどを見て、誤検出の原因になっているルールグループを特定する
3. 誤検出しているルールグループは無効にする