みなさん、こんにちは。サニービュー事業部の小寺です。

みなさんはAWS WAFをご利用されていますでしょうか。
本日、AWS WAF Bot Controlという新機能がリリースされました。
どういった機能なのか?解説します。

https://aws.amazon.com/jp/blogs/news/reduce-unwanted-traffic-on-your-web-site-with-aws-bot-control/

■悪意のあるボットとは?

一部のボットは、検索エンジンやデジタルアシスタント(SiriやAlexaなど)といった便利なサービスに不可欠です。
ただし、ボットの中でもWebサイトオーナーの意図や、サイトのサービス利用規約、ボットの挙動に関するサイトのRobots.txtルール等を侵害することは、悪意があるとみなされます。個人情報を盗み出したり、アカウントを乗っ取る等といったサイバー犯罪の実行を試みるボットも、当然悪意があるボットです。

また、ボットによるトラフィックが過剰に増大すると、Webサーバーのリソースに過剰な負荷がかかり、Webサイトやアプリケーションを使おうとする正当なユーザーに対するサービスの遅延や停止を招く等のビジネス上のリスクもあります。これが意図的に過剰な負荷をかけるDoS攻撃またはDDoS攻撃の形を取られることもあります。

■AWS WAF Bot Controlとは

AWS WAF Bot Control (以下、Bot Control)は、以下の情報を分析して、ボットの発信元と目的を特定することができます。
・TLS ハンドシェイク
・HTTP 属性
・IP アドレスなど

Bot Controlから特定されるボットです。
・スクレーパー
・SEO
・クローラ
・サイトモニター

Bot Control が認識した望ましくないボットに対しては、そのトラフィックをブロックできます。
その他Bot Controlを利用するメリットです。

1) ボットのトラフィックアクティビティの可視化
Bot Control を使用すると、ボットのトラフィックアクティビティを自由に可視化できます。AWS WAF を使用している場合、ボットアクティビティのレベルが高いアプリケーションを、サンプルデータに基づいて表示するためのダッシュボードが、事前に作成されています。

2) トラフィックの削減
Bot Control によりスクレーパー、スキャナ、クローラによって生成されるトラフィックが削減できるようになり、運用面やインフラストラクチャ面でのコストが削減されます。Bot Control は、アプリケーションの処理コストが増加したり、アプリケーションのパフォーマンスに悪影響が出たりする前に、不要なボットトラフィックを水際でブロックします。

3)デプロイが簡単
ボットからの保護を追加するためには、AWS マネージドルールグループをウェブアクセスコントロールリスト (ウェブ ACL)に追加するだけで、対応できます。

■利用するには
(1)AWS WAFより「Create Web ACL」をクリックします。
今回は、「Resource type」はCloudFrontではなく、「Regional resources (Application Load Balancer, API Gateway, AWS AppSync)」を選択します。

(2)[Add rules and rule groups (ルールとルールグループの追加)] で、[Add rules (ルールの追加)] を開き、[Add managed rule groups (マネージドルールグループの追加)] を選択します。

(3)[Add managed rule groups (マネージドルールグループの追加)] 画面で、[AWS Managed rule groups (AWS マネージドルールグループ)] を展開し、Bot Control の Add to web ACL (ウェブ ACL に追加)をオンにします。

※2021年4月5日に試してみたところ、「AWS WAF Bot Control managed rule group temporarily not available」のエラーで表示が確認できませんでした・・・。また後日確認してみます。

■対応可能なリージョン

AWS WAF Bot Control は、AWS WAF が提供されているすべての AWS リージョンで、利用できます。
他の AWS WAF ルールと同様に、AWS WAF Bot Control のフィルタリングも、Amazon CloudFront ディストリビューション、 Application Load BalancerAmazon API Gateway、および AWS AppSync にヒットするトラフィックに対し適用できます。

■利用料金

Bot Control は、ウェブ ACL に有料で追加する AWS マネージドルールです。
料金はAWS WAFサービスとして課金されます。

・ルール :10 USD/月 (時間で案分)
・リクエスト:1 USD(100万リクエストあたり)

■まとめ

いかがでしたでしょうか。
ウェブアプリケーションを保護するために、Bot Controlは簡単に始められそうですね。

AWS環境構築、移行、セキュリティに関するお問合せは、SunnyCloudまでお願いします。担当者より追って連絡させていただきます。

参考リンク:https://www.cloudflare.com/ja-jp/learning/bots/what-is-a-bot/