Application Load Balancer (ALB) インスタンスに Web Application Firewall (WAF) 保護を有効化することで、一般的な Web 攻撃からの防御を実現します。WAF 保護が有効化された ALB インスタンスは、WAF 3.0 SDK 統合モードを採用しており、セキュリティ検査とトラフィック転送を分離しています。この設計により、従来のインライン WAF デプロイメントで発生しやすい、ネットワーク遅延の増加、構成の複雑化、および単一障害点(SPOF)の発生といった課題を回避します。
仕組み
WAF 保護が有効化された ALB インスタンスは、WAF 3.0 SDK 統合モードを採用します。このモードでは、WAF は転送パス上のインラインネットワークノード(ゲートウェイ)として機能しません。代わりに、WAF はトラフィックの抽出、検査、および保護のみを担当します。このアプローチにより、従来の WAF デプロイメントにおける透過プロキシモードに起因する、ネットワーク遅延の増加、証明書同期設定などの複雑な構成、および潜在的な SPOF を回避します。
詳細については、「WAF 3.0 と WAF 2.0 の比較」をご参照ください。
リクエスト受信:ALB インスタンスがクライアントからのリクエストを受信します。
検査バイパス:リクエストをバックエンドサーバーに転送する前に、ALB は組み込みのソフトウェア開発キット(SDK)を使用して、トラフィックデータを同期的に抽出し、WAF 3.0 セキュリティ検査クラスターへ送信します。
セキュリティ分析:WAF 3.0 は、コア Web 保護や悪意のある IP アドレスのブロックなど、お客様が設定した保護ルールに基づき、リアルタイムでリクエスト内容を分析します。その後、ALB に対して「許可」または「ブロック」の検査結果を返します。
判断の適用:ALB は、WAF から返された検査結果に基づき処理を行います。
許可:ALB は元のリクエストをバックエンドサーバーへ転送します。
ブロック:ALB はリクエストを即座にブロックし、クライアントに対して遮断ページ(通常は状態コード 405)を返します。この場合、リクエストはバックエンドサーバーに到達しません。
注意事項
WAF 保護が有効化された ALB インスタンスについての注意事項は以下のとおりです。
対応リージョン:
エリア
リージョン
中国
中国 (成都)、中国 (青島)、中国 (北京)、中国 (広州)、中国 (杭州)、中国 (ウランチャブ)、中国 (上海)、中国 (深セン)、中国 (張家口)、および中国 (香港)
アジア太平洋
フィリピン (マニラ)、インドネシア (ジャカルタ)、日本 (東京)、マレーシア (クアラルンプール)、シンガポール、タイ (バンコク)、および韓国 (ソウル)
ヨーロッパおよびアメリカ
ドイツ (フランクフルト)、米国 (バージニア)、米国 (シリコンバレー)、およびメキシコ
中東
サウジアラビア (リヤド - パートナー運営)
WAF バージョン:WAF 3.0 を使用する必要があります。アカウントに WAF 2.0 インスタンスが存在する場合は、まずWAF 2.0 インスタンスをリリースするか、WAF 3.0 へ移行する必要があります。
デフォルトでは、ALB はバックエンドサーバーグループへ転送されるリクエストにおいて、
X-Forwarded-Protoヘッダーを有効化していません。WAF 2.0 インスタンスをリリースした後、ALB に直接アクセスすると、バックエンドサービスがプロトコル(HTTP/HTTPS)を正しく識別できないため、無限ループのリダイレクトなどのサービス例外が発生する可能性があります。この問題を防ぐためには、ALB のリスナー構成でX-Forwarded-Protoリクエストヘッダーを手動で有効化する必要があります。機能の可用性:ALB インスタンス向け WAF は、以下の機能をサポートしていません:データ漏洩防止モジュール、およびボット管理モジュール内の Web サイト向け反クローラールールの自動 Web SDK 統合機能。
ALB インスタンスへの WAF 保護の有効化
WAF 保護を有効化すると、ALB インスタンスは既存の WAF インスタンスと自動的に統合されます。WAF インスタンスが存在しない場合は、従量課金制の WAF インスタンスが自動的に作成されます。
WAF インスタンスの利用可能エリアは、中国本土および中国本土以外です。ALB インスタンスのリージョンが中国本土内にあるかどうかに応じて、対応するエリアの WAF インスタンスに接続されます。
WAF 保護が有効化された ALB インスタンスの作成
コンソール
ALB 購入ページへ移動します。エディションをWAF 保護有効化に設定し、その他のパラメーターは「ALB インスタンスの作成と管理」を参照して設定します。
API
WAF 保護が有効化された ALB インスタンスを作成するには、CreateLoadBalancer 操作を呼び出し、LoadBalancerEdition パラメーターを StandardWithWaf に設定します。
既存の ALB インスタンスへの WAF 保護の有効化
Basic エディションおよび Standard エディションの ALB インスタンスの両方に対して WAF 保護を有効化でき、すなわち、WAF 保護が有効化されたエディションへアップグレードできます。
開始前に、対象のインスタンスが実行中の状態であることを確認してください。
ALB インスタンスの単価はエディションによって異なります。購入ページに表示される料金をご確認ください。
コンソール
ALB インスタンスページへ移動します。
対象インスタンスの ID の横にある
アイコンにカーソルを合わせます。WAF 保護セクションで、WAF の有効化をクリックします。
API
ALB インスタンスを WAF 保護が有効化されたエディションへアップグレードするには、UpdateLoadBalancerEdition 操作を呼び出し、LoadBalancerEdition パラメーターを StandardWithWaf に設定します。
保護ログの表示
ALB インスタンスに WAF 保護を有効化すると、WAF は自動的に名前が -alb で終わる保護対象オブジェクトを作成し、デフォルトでコア Web 保護ルールを有効化します。このルールにより、保護対象オブジェクトに対してデフォルトでセキュリティレポートが有効化され、保護ログが表示されます。
その他のセキュリティ要件を満たすために、保護ルールの設定を行ってください。
複数のドメイン名が同一の ALB インスタンスを指している場合、各ドメインに対して異なる保護ルールを設定する必要があるときは、ドメイン名を個別の保護対象オブジェクトとして追加する必要があります。
コンソール
ALB インスタンスページへ移動します。
対象インスタンスの ID の横にある
アイコンにカーソルを合わせます。WAF 保護セクションで、WAF セキュリティレポートの表示をクリックします。
WAF 保護の無効化
WAF 保護を無効化すると、ALB インスタンスへのトラフィックは WAF による保護を受けなくなります。セキュリティレポートには当該トラフィックの保護データが含まれなくなり、WAF によるリクエスト処理に対する課金も発生しなくなります。
ただし、WAF インスタンスおよびその保護ルールは引き続き存在するため、WAF サービスに対する課金は継続されます。すべての課金を完全に停止するには、WAF サービスを終了する必要があります。
WAF 保護の恒久的無効化:WAF 保護を無効化すると、ALB インスタンスは WAF 保護が有効化されたエディションから Standard エディションへスペックダウンされます。この変更により、サービスは中断されません。
WAF 保護の一時的無効化:サービストラフィックが多数の誤検知をトリガーし、トラフィックの大部分がブロックされる場合、サービスを迅速に復旧させるために、WAF 保護を一時的に無効化できます。
この場合、ALB インスタンスは引き続き WAF 保護が有効化されたエディションのままです。トラフィックは ALB に埋め込まれた WAF SDK を経由しますが、WAF クラスターへの検査転送は行われず、バックエンドサーバーグループへ直接転送されます。
WAF インスタンスの一時的無効化を行う前に、このリスクを十分に理解してください:WAF インスタンスによって保護されているすべてのリソースに影響が及びます。
コンソール
WAF 保護の恒久的無効化
ALB コンソール - インスタンスページへ移動します。
対象インスタンスの ID の横にある
アイコンにカーソルを合わせます。WAF 保護セクションで、WAF の無効化をクリックします。
保護の一時的無効化
WAF コンソール - 保護対象オブジェクトページへ移動します。
ページ右上隅にある WAF 保護ステータスをオフに切り替えます。
API
WAF 保護が有効化された ALB インスタンスを Standard エディションへスペックダウンするには、UpdateLoadBalancerEdition 操作を呼び出し、LoadBalancerEdition パラメーターを Standard に設定します。
本番環境に適用
カナリアテスト:まず、本番環境と同様の環境(可能であれば非ピーク時間帯)で ALB インスタンスの WAF 保護を有効化します。サービスが期待通りに動作することを確認した後、本番 ALB インスタンスの保護を有効化します。
継続的な監視:攻撃やその他のセキュリティイベントに関するアラートを受信するために、定期的にセキュリティレポートを確認し、CloudMonitor の通知設定を行ってください。
ルールの調整:誤検知を分析し、保護ルールの精度を向上させるために、WAF の遮断ログを定期的にレビューしてください。
課金
インスタンス料金:
インスタンス料金 = インスタンス単価(USD/時間) × 課金期間(時間)ロードバランサーキャパシティユニット(LCU)料金:
1 時間あたりの LCU 料金 = max{新規接続数の LCU、同時接続数の LCU、処理データ量の LCU、ルール評価数の LCU} × LCU 単価インターネットデータ転送料金:
インターネット向け ALB インスタンスのみがインターネットデータ転送料金の対象となります。
インターネット向け ALB インスタンスは、Elastic IP Address(EIP)または Anycast EIP を使用してインターネット上でサービスを提供します。ALB インスタンスに関連付けられたEIPまたはAnycast EIPに対して課金されます。
WAF 3.0 の課金:WAF 3.0 はサブスクリプションおよび従量課金の両方をサポートしています。
WAF インスタンスが存在しない場合、WAF 保護が有効化された ALB インスタンスを作成すると、従量課金制の WAF インスタンスが自動的に作成され、その使用量に対して課金されます。
すでにサブスクリプション制の WAF 3.0 インスタンスをお持ちの場合は、WAF 保護が有効化された ALB インスタンスを作成しても、追加の WAF 料金は発生しません。
よくある質問
ALB インスタンスに対して WAF 2.0 の保護を有効化できますか?
既存の WAF 2.0 インスタンスをお持ちの場合は、Basic エディションおよび Standard エディションのインターネット向け ALB インスタンスを WAF 2.0 インスタンスと統合できます。この機能は、以下のリージョンでサポートされています:中国 (杭州)、中国 (上海)、中国 (深セン)、中国 (成都)、中国 (北京)、および中国 (張家口)。内部 ALB インスタンスは WAF 2.0 インスタンスと統合できません。
WAF 2.0 インスタンスをお持ちでない場合、または WAF を有効化していない場合は、すべての ALB インスタンスは WAF 3.0(WAF 保護が有効化されたエディションへアップグレード)でのみ保護可能です。