なさん、こんにちは。
サニービュー事業部の小寺です。

AWS WAFのマネージドルールのバージョン機能がリリースされました。

https://aws.amazon.com/jp/about-aws/whats-new/2021/08/aws-waf-offers-managed-rule-group-versioning/

今まではユーザーの感知しないタイミングでルールの更新が行われていましたが、今後はバージョン更新のタイミングや内容がAWSから通知されるようになり、ユーザーはそれに基づいてバージョンを選ぶことができるようになりました。

WAFのマネージドルールとは

マネージドルールグループ、事前定義されたすぐに使用できるルールのコレクションで、AWS 販売者および AWS Marketplace 販売者が管理しています。

・AWSマネージドルールグループ
主に無料でご利用いただけます。AWS WAF顧客 -AWS WAFボット制御ルールグループには追加料金がかかります。詳細については、AWS WAF 料金を参照してください。

・AWS Marketplace マネージドルールグループ
AWS Marketplace からサブスクリプションでご利用いただけます。

マネージドルールの自動更新

絶えず変化する脅威の状況に遅れずについていくには、時間とコストがかかることがあります。マネージドルールグループを利用することにより、ユーザ側は脅威への対応やルールのメンテナンスなどのコストを節約できます。
AWSおよび AWS Marketplace 販売者は、新しい脆弱性と脅威が出現すると、マネージドルールグループを自動的に更新し、新しいバージョンのルールグループが提供されます。

というのも、AWSやMarletplaceの販売者にはユーザ公開前に新しい脆弱性が通知されるからです。AWS WAF は、新しい脅威が広く知られる前でも、ルールグループを更新してデプロイできます。また、最新の脅威を調査して分析して最も関連性の高いルールを作成する脅威調査チームも多くあるのです。

バージョン確認と切り替え方法

AWS WAFからマネージドルールのバージョンを確認してみましょう。
Web ACLsより該当WAFを選び、マネージドルールを選びます。
バージョンは「Default」であることが確認できます。

バージョンを切り替えるには、Rule Setから「Version」で該当バージョンを選ぶことができます。

更新通知を受け取るには

更新通知は Amazon SNS によって行われます。様々な方法で通知を受け取ることができます。メールだけではなく、slackへの通知やLambdaでの後続処理の設定なども可能です。

ACL の編集画面でマネージドルールの編集を選択すると、 Amazon SNS のサブスクライブ画面に遷移するリンクがあります。

バージョン管理の注意点

多くの場合バージョンには有効期限が存在します。
ルールセットによっては有効期限がないこともあり得ます。

マネージドルールグループをウェブ ACL に追加するときは、使用するバージョンをDefaultとしてプロバイダーに管理をまかせるか、バージョン設定を自分で管理できるかを選択できます。

まとめ

ルールの変化による誤検知を気にされているユーザーにとっては非常に価値ある機能だと思います。バージョンを固定しつつ、時間のあるタイミングで更新内容を検証しながら最新版へ更新するといった運用が可能となります。

また、 マネージドルールのアップデート機能強化に伴う誤検知が発生した場合に旧バージョンへの切り戻しを行うことができ、調査や対応スピードアップにも繋がるようになりました。

バージョンの有効期限がベンダー側でコントロールされるので、更新したうえで、開発環境での検証、本番へ適用を繰り返すことをせずに、Defaultで今まで通り常に最新の状態にしておくことも選択肢の一つとして考えられます。