こんにちは、小寺です。Amazon CloudFrontが総合セキュリティダッシュボードの提供を開始しました。
https://aws.amazon.com/about-aws/whats-new/2023/11/amazon-cloudfront-unified-security-dashboard/
アップデート内容
Web アプリケーションの一般的なセキュリティの保護状況をAmazon CloudFront コンソールから直接有効化、監視、管理できるようになりました。
CloudFront セキュリティ ダッシュボードは、一般的なセキュリティ保護の有効化、トラフィックの監視と調査、トラフィックの異常と脅威の軽減を簡単かつ便利にするように設計されています。
クエリが不要で、IP アドレス、国、HTTP メソッド、URI パスを用いて、Amazon CloudWatch に保存されているAWS WAF ログの確認ができます。
確認してみた
(1) AWSマネジメントコンソールからCloudFrontを開き、対象のディストリビューションを選びます。
(2) [Web アプリケーション ファイアウォール (WAF)] セクションで、「編集」をクリックします。
(3)「セキュリティ保護を有効にする」をクリックします。
(4) 利用料金見込みを確認します。ここでデフォルトでは、「Use monoter mode」はチェックがついていない状態です。
(5) 「価格見積もり」部分は展開すると、リクエスト数の入力ができます。
(6) 設定が有効になりました。
この状態でCloudFront は、すべてのアプリケーションに対して AWS が推奨するすぐに使える保護機能を備えた AWS WAF の作成と設定を処理します。
含まれているコアセキュリティ保護は、Amazon 内部の脅威インテリジェンスに基づいて潜在的な脅威から IP アドレスをブロックし、OWASP トップ 10に基づきWeb アプリケーションで見つかった最も一般的な脆弱性から保護し、攻撃者からの防御ができるようになります。
(7) 追加の推奨セキュリティルールとしてWordPressの保護を有効にすることもできます。
セキュリティダッシュボードを見てみる
CloudFront セキュリティ ダッシュボードは、セキュリティ トレンド、ボット リクエスト、リクエスト ログという 3 つのセクションに分かれています。
「ボット リクエスト」には、アプリケーションにアクセスするボットに関する情報が表示されます。ボット保護が無効になっている場合、サンプルに基づいたリクエスト数で表示がされるようです。
AWS WAF Bot Control を使用してボット保護を有効にできます。
気になる利用料は?
CloudFront セキュリティ ダッシュボードは、追加費用なしで各 CloudFront ディストリビューションに含まれています。これには、任意のディストリビューションの CloudFront コンソールで [セキュリティ] タブを選択することでアクセスできます。
AWS WAF の標準料金はダッシュボードを通じて作成された Web ACL に適用されます。あくまで、追加費用がないのはセキュリティダッシュボードのみです。
CloudFront は、毎月 1 TB のデータ転送と 10MM HTTP リクエストを無料で提供します。 CloudFront の背後で Amazon Simple Storage Service (Amazon S3) や Application Load Balancer (ALB) などの AWS オリジンを使用している場合、オリジンフェッチのためのデータ転送は無料です。詳細は公式の料金ページから。
