みなさん、こんにちは。小寺です。
Amazon CloudFrontからワンクリックでAWS WAFが作成できるアップデートが発表されました。
https://aws.amazon.com/about-aws/whats-new/2023/05/amazon-cloudfront-one-click-security-protections/

今までの運用方法

Amazon CloudFrontのディストリビューションにAWS WAFのWeb ACLを紐づけする場合、従来はCloudFrontとAWS WAFを個別に設定した後、Web ACLの「Associated AWS resources」からCloudFrontを紐づける必要がありました。
「Associate」というのが所謂、リソースの紐づけにあたります。
CloudFront以外にAWS WAFが紐づけできるのは、Amazon CloudFront以外では以下のサービスです。
・Application Load Baalancer
・Amazon API Gateway
・AWS AppSync

本アップデート内容

Amazon CloudFront コンソールでワンクリックするだけで、AWS WAFを使用してウェブアプリケーションと API を保護できるようになりました。
オプションとして設定後にAWS WAF コンソールでボットやアプリケーションに固有のその他の脅威に対する追加のセキュリティ保護が追加できます。

新規にCloudFrontを作って、確認してみる

(1)CloudFrontのマネジメントコンソールから「ディストリビューションを作成」をクリックします。

(2)作成時に「WAFの有効/無効」が設定できるようになっています。
「Use monitor mode」オプションは、Web ACLに適用されるルールの動作状況をあらかじめ確認する場合にONにしておきましょう。
「Price estimate」を展開すると利用料試算が表示されています。予め、月のリクエスト数として「10000000」が入力されています。

(3)ディストリビューション作成後に、作成されたAWS WAFが表示されます。
「CreatedByCloudFront」から始まる部分です。

(4)リンクを確認して、どのようなAWS WAF設定になっているのか確認してみます。


デフォルトでは、以下のルールが有効になっています。
AWS-AWSManagedRulesAmazonIpReputationList(Amazon IP 評価リストマネージドルールグループ)
AWS-AWSManagedRulesCommonRuleSet(コアルールセット (CRS) マネージドルールグループ)
AWS-AWSManagedRulesKnownBadInputsRuleSet(既知の不正な入力マネージドルールグループ)

それぞれ、詳細ルールについては、リンクを確認いただければと思います。
こちらの記事では割愛いたします。

(5)「Associated AWS Resouce」タブでは、元に設定したCloudFrontの情報が表示されます。

まとめ

本日は10日に発表されたアップデートとしてワンクリックでCloudFrontからAWS WAFを作成する方法について ご紹介しました。

注意点としては、まずは簡単に最小限のAWS WAFルールが追加できるようになったことはセキュリティ強化という観点でとても素晴らしい機能だと思います。
一方で、システム要件にあったルールの追加対応は設定される利用者側で行い、動作確認なども実施していく必要があるということです。料金が事前に表示されるのも嬉しいですよね。