Application Load Balancer (ALB) インスタンスのwebサービスが攻撃に対して脆弱である場合、webサービスをWAF対応のALBインスタンスに移行できます。これにより、セキュリティが強化されます。 ALBはWeb Application Firewall (WAF) 3.0と統合されています。 WAF 2.0は透過プロキシモードをサポートしますが、WAF 3.0はサービス統合モードをサポートします。 リスニングと転送は、WAFではなくALBによって実行されます。 転送サービスとセキュリティサービスは、互換性とパフォーマンスの安定性を確保するために互いに分離されています。 このトピックでは、WAF対応のALBインスタンスの利点と、WAF対応のALBインスタンスをアクティブ化および管理する方法について説明します。
WAF対応ALBインスタンスの利点
オールインワン保護
ALBはWAF 3.0と深く統合されており、悪意のあるリクエストを検出できるオールインワンのセキュリティサービスを提供します。 WAF対応のALBインスタンスは、侵入に強く、より安定したパフォーマンスを提供し、サービスとデータの高いセキュリティをサポートします。
高い互換性
ALBはサービスレベルでWAF 3.0と統合されています。 WAFはセキュリティサービスのみを提供し、転送サービスから切り離されています。 リスニングと転送はALBによって実行されるため、要求転送サービスとセキュリティサービスは互いに分離されます。 この設計により、互換性とサービス性能が向上します。
さまざまな機能
標準のALBインスタンスと比較して、WAF対応のALBインスタンスは強化された保護下にあります。 ALBエディションの違いの詳細については、「機能と機能」をご参照ください。
すべてのネットワークタイプとプロトコルのサポート
WAF対応のALBインスタンスは、すべてのネットワークタイプとプロトコルをサポートしています。 WAF対応のALBインスタンスは、インターネットまたは内部に対応できます。 WAF対応のALBインスタンスは、IPv4とデュアルスタックの両方をサポートします。
十分なクォータ
WAF対応のALBインスタンスは、標準ALBインスタンスと同じクォータを提供し、基本ALBインスタンスよりも高いクォータを提供します。 さまざまなALBエディションでサポートされているリソースクォータの詳細については、「ALBクォータ」をご参照ください。
オンデマンド保護
WAF対応のALBインスタンスでは、単純な設定のみが必要です。 ワンクリックでALBインスタンスのWAF保護を有効または無効にできます。 ALBコンソールでWAF対応のALBインスタンスを購入するか、既存の基本ALBインスタンスと標準ALBインスタンスをWAF対応のALBインスタンスにアップグレードできます。
WAF対応ALBインスタンスの制限
WAF対応のALBインスタンスを購入する前に、実名検証を完了する必要があります。
次の表に、WAF対応のALBインスタンスを購入できるリージョンを示します。
地域
リージョン
中国
中国 (成都) 、中国 (青島) 、中国 (北京) 、中国 (広州) 、中国 (杭州) 、中国 (ウランカブ) 、中国 (上海) 、中国 (深セン) 、中国 (張家口) 、中国 (香港)
アジア太平洋
フィリピン (マニラ) 、インドネシア (ジャカルタ) 、日本 (東京) 、マレーシア (クアラルンプール) 、オーストラリア (シドニー) 、シンガポール、インド (ムンバイ) 、タイ (バンコク)
ヨーロッパおよびアメリカ
ドイツ (フランクフルト) 、米国 (シリコンバレー) 、米国 (バージニア)
中東
サウジアラビア (リヤド - パートナーリージョン)
[実行中] 状態の基本ALBインスタンスと標準ALBインスタンスのみをWAF対応ALBインスタンスにアップグレードできます。
Alibaba CloudアカウントでWAFが有効化されていないか、またはAlibaba CloudアカウントでWAF 3.0が有効化されていることを確認してください。
Alibaba CloudアカウントでWAFが有効化されていない場合、WAF対応ALBインスタンスの作成後に従量課金WAF 3.0インスタンスが作成されます。
サブスクリプションWAF 3.0インスタンスがAlibaba Cloudアカウントに存在する場合、WAF対応のALBインスタンスを購入した後、WAFに追加料金は発生しません。
Alibaba CloudアカウントにWAF 2.0インスタンスがすでに存在する場合は、WAF 2.0インスタンスをリリースするか、WAF 2.0インスタンスからWAF 3.0インスタンスにデータを移行します。
WAF 2.0インスタンスをリリースする方法の詳細については、「WAFサービスの終了」をご参照ください。
WAF 3.0への移行方法の詳細については、「WAF 2.0インスタンスのWAF 3.0への移行」をご参照ください。
課金
WAF対応ALBインスタンスを作成するか、既存のALBインスタンスをWAF対応エディションにアップグレードすると、WAF 3.0の使用に対して課金されます。 次の表に、WAF対応のALBインスタンスの課金項目を示します。
課金項目 | 課金ルール | 関連ドキュメント |
インスタンス料金 |
| |
LCU 料金 |
| |
インターネットデータ転送料金 | 内部対応のALBインスタンスを使用している場合、インターネットデータ転送料金は請求されません。 インターネット対応のALBインスタンスを使用している場合にのみ、インターネットデータ転送料金が請求されます。 インターネットに接続するALBインスタンスは、elastic IPアドレス (EIP) またはAnycast EIPを使用して、インターネット経由でサービスを提供します。 | |
WAF 3.0料 | WAF 3.0は、サブスクリプションと従量課金の課金方法をサポートしています。 詳細については、「サブスクリプションWAF 3.0インスタンス」および「従量課金WAF 3.0インスタンス」をご参照ください。
| |
ALBインスタンスのWAF保護を有効にする
WAF対応のALBインスタンスを購入する
ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスを作成するリージョンを選択します。
インスタンスページで、ALBの作成をクリックします。
Application Load Balancerページで、パラメーターを設定し、今すぐ購入をクリックし、そして支払いを完了します。
この例では、一部のパラメーターについてのみ説明します。 詳細については、「ALBインスタンスの作成」をご参照ください。
エディション: [WAF有効] を選択します。
既存のALBインスタンスのWAF保護を有効にする
既存の基本または標準のALBインスタンスをWAF対応のALBインスタンスにアップグレードできます。
ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスを作成するリージョンを選択します。
[インスタンス] ページで、管理するALBインスタンスを見つけ、次のいずれかの方法を使用してWAF保護を有効にします。
方法1: インスタンス名の横にある
アイコンの上にポインターを移動し、[WAF保護] セクションの [保護の有効化] をクリックします。 方法2 [操作] 列で
> [仕様の変更] を選択します。 方法3: ALBインスタンスのIDをクリックします。 インスタンスの詳細 タブで、[基本情報] セクションの [WAF保護] を見つけ、[保護の有効化] をクリックします。
方法4: ALBインスタンスのIDをクリックし、[統合サービス] タブをクリックします。 [Webアプリケーションファイアウォール] セクションで、[保護の有効化] をクリックします。
Application Load Balancer | アップグレード /ダウングレードページで、WAF有効のエディションを設定し、[利用規約] を選択し、今すぐ購入をクリックし、そして支払いを完了します。
WAF保護の管理
ALBコンソールでWAF保護を管理する
ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスを作成するリージョンを選択します。
WAF保護を管理します。
操作
手順
ALBインスタンスのWAF保護が有効になっているかどうかの確認
インスタンスに対してWAF保護が有効になっているかどうかを確認するには、次のいずれかの方法を使用します。保護有効は、ALBインスタンスに対してWAF保護が有効になっていることを示します。
方法1: [インスタンス] ページで、管理するALBインスタンスを見つけ、インスタンス名の右側にある
アイコンの上にポインターを移動します。 表示されるホバーボックスで、[WAF保護] セクションで保護ステータスを表示します。 方法2:
インスタンス ページで、管理するALBインスタンスのIDをクリックします。
インスタンスの詳細 タブで、[基本情報] セクションでWAF保護が有効になっているかどうかを確認します。
方法3:
インスタンス ページで、管理するALBインスタンスのIDをクリックします。
[統合サービス] タブをクリックし、[Webアプリケーションファイアウォール] セクションでWAF保護のステータスを表示します。
WAFセキュリティレポートの表示
WAFセキュリティレポートを表示するには、ALBインスタンスでWAF保護が有効になっていることを確認します。
方法1: インスタンス ページで、管理するALBインスタンスを見つけ、
アイコンの上にポインターを移動します。 [WAF保護] セクションで、[WAFセキュリティレポートの表示] をクリックし、WAF 3.0コンソールに移動してセキュリティレポートを表示します。 方法2:
インスタンス ページで、管理するALBインスタンスのIDをクリックします。
インスタンスの詳細 タブで、[基本情報] セクションの セキュリティ保護 の右側にある WAF セキュリティレポートを表示 をクリックし、[WAF 3.0コンソール] の [セキュリティレポート] ページに移動します。
方法3:
インスタンス ページで、管理するALBインスタンスのIDをクリックします。
[統合サービス] タブをクリックします。 [Webアプリケーションファイアウォール] セクションで、WAF セキュリティレポートを表示 をクリックして、[WAF 3.0コンソールのセキュリティレポート] に移動します。
詳細については、「セキュリティレポート」をご参照ください。
WAF保護の無効化
ALBインスタンスのWAF保護を無効にすると、ALBインスタンスはWAFによって保護されなくなり、WAFセキュリティレポートにはALBインスタンスに関する保護の詳細が含まれなくなります。
重要ALBインスタンスのWAF保護が無効になった後、WAFはリクエスト処理料金を請求しなくなります。 ただし、既存の保護ルールには依然として料金がかかります。 ALBインスタンスのWAF保護を無効にする前に、保護ルールを削除することを推奨します。 詳細については、「請求項目」および「保護モジュールの概要」をご参照ください。
方法1:
インスタンス ページで、管理するALBインスタンスを見つけ、インスタンスIDの右側にある
アイコンの上にポインターを移動します。 表示されるホバーボックスで、[WAF保護] セクションの [WAFの無効化] をクリックします。 [Application Load Balancer | アップグレード /ダウングレード] ページで、[Edition] を [Standard] に設定し、[今すぐ購入] をクリックして支払いを完了します。
方法2:
インスタンス ページで、管理するALBインスタンスを見つけ、[操作] 列の
> [仕様の変更] を選択します。 [Application Load Balancer | アップグレード /ダウングレード] ページで、[Edition] を [Standard] に設定し、[今すぐ購入] をクリックして支払いを完了します。
方法3:
インスタンス ページで、管理するALBインスタンスのIDをクリックします。
インスタンスの詳細 タブで、[基本情報] セクションの [WAF保護] の横にある [WAFの無効化] をクリックします。
[Application Load Balancer | アップグレード /ダウングレード] ページで、[Edition] を [Standard] に設定し、[今すぐ購入] をクリックして支払いを完了します。
方法4:
インスタンス ページで、管理するALBインスタンスのIDをクリックします。
[統合サービス] タブをクリックします。 [Webアプリケーションファイアウォール] セクションで、[WAFの無効化] をクリックします。
[Application Load Balancer | アップグレード /ダウングレード] ページで、[Edition] を [Standard] に設定し、[今すぐ購入] をクリックして支払いを完了します。
WAFコンソールでのWAF保護の管理
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択します。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
WAF保護を管理します。
WAFによって保護されているALBインスタンスの表示
[クラウドネイティブ] タブで、左側の製品リストで [ALB] をクリックします。
保護オブジェクトと保護ルールの追加
ALBインスタンスのIDをクリックして、[保護されたオブジェクト] ページに移動します。 このページでは、ALBインスタンスの保護されたオブジェクトと保護ルールを表示できます。 詳細については、「概要」をご参照ください。
説明クラウドネイティブモードでWAFに追加されたクラウドサービスインスタンスのアセットタイプの値は、クラウドサービス名の略です。 たとえば、ALBインスタンスのアセットタイプの値はalbで、ドメイン名の値は空です。
ALBインスタンスのWAF保護を無効にする
ALBインスタンスのWAF保護を無効にすると、ALBインスタンスはWAFによって保護されなくなり、WAFセキュリティレポートにはALBインスタンスに関する保護の詳細が含まれなくなります。
重要ALBインスタンスのWAF保護が無効になった後、WAFはリクエスト処理料金を請求しなくなります。 ただし、既存の保護ルールには依然として料金がかかります。 ALBインスタンスのWAF保護を無効にする前に、保護ルールを削除することを推奨します。 詳細については、「請求項目」および「保護モジュールの概要」をご参照ください。
[クラウドネイティブ] タブで、管理するインスタンスを見つけ、[操作] 列の [削除] をクリックします。
表示されるメッセージで、情報を表示し、[削除] をクリックします。
[削除] パネルで、[エディション] を [標準] に設定し、[今すぐ購入] をクリックして支払いを完了します。
よくある質問
WAF 2.0の透過プロキシモードとWAF 3.0のサービス統合モードの違いは何ですか?
次のセクションでは、WAF 2.0の透過プロキシモードとWAF 3.0のサービス統合モードの違いについて説明します。
WAF 2.0の透過プロキシモード: リクエストは、リクエストがALBまたはCLBに転送される前にWAFによってフィルタリングされます。 透過プロキシモードでは、リクエストは2つのゲートウェイを通過します。 WAFおよびServer Load Balancer (SLB) のタイムアウト期間と証明書を設定する必要があります。
WAF 3.0のサービス統合モード: WAFはバイパスモードでデプロイされ、リクエストはALBに直接転送されます。 リクエストがバックエンドサーバーに転送される前に、ALBはリクエストコンテンツを抽出してフィルタリングのためにWAFに送信します。 サービス統合モードでは、リクエストは1つのゲートウェイを通過します。 これにより、ゲートウェイ間で証明書と設定を同期する必要がなくなり、同期の問題を防ぎます。
詳細については、「WAF 3.0とWAF 2.0の比較」をご参照ください。
WAF for ALBを有効にするにはどうすればよいですか?
ALBはWAF 3.0と統合されています。 ALBインスタンスをWAFで保護する場合は、WAF対応のALBインスタンスを購入してください。 WAF対応のALBインスタンスを購入するときは、次の情報に注意してください。
Alibaba CloudアカウントにWAF 2.0インスタンスがない場合、またはWAFが有効化されていない場合は、WAF対応のALBインスタンスを購入することで、インターネット向けおよび内部向けのALBインスタンスのWAF 3.0を有効にできます。 このように、ALBはサービスレベルでWAFと統合されます。 WAF対応のALBインスタンスをサポートするリージョンの詳細については、「WAF対応のALBインスタンスの制限」をご参照ください。
Alibaba Cloudアカウントに既にWAF 2.0インスタンスがある場合: 透過プロキシモードの基本的なインターネット向けALBインスタンスおよび標準のインターネット向けALBインスタンスに対してWAF 2.0を有効にできます。 内部対応のALBインスタンスはWAF 2.0をサポートしていません。
透過プロキシモードでWAF 2.0とインターフェイスできるのは、中国 (杭州) 、中国 (上海) 、中国 (深セン) 、中国 (成都) 、中国 (北京) 、中国 (張家口) のリージョンのALBインスタンスのみです。
説明ALBインスタンスのWAF 3.0を有効にする場合は、最初にWAF 2.0インスタンスをリリースするか、WAF 3.0に移行します。
WAF 2.0インスタンスをリリースすると、デフォルトでALBに対してX-Forwarded-Protoヘッダーが無効になっているため、サービスエラーが発生する可能性があります。 エラーを防ぐには、ALBインスタンスのリスナーのX-Forwarded-Protoヘッダーを有効にする必要があります。 詳細については、「リスナーの管理」をご参照ください。
WAF 2.0インスタンスをリリースする方法の詳細については、「WAFサービスの終了」をご参照ください。
WAF 3.0への移行方法の詳細については、「WAF 2.0インスタンスのWAF 3.0への移行」をご参照ください。
CLBとALBは、WAF 2.0の透過プロキシモードとWAF 3.0のサービス統合モードをサポートしていますか。
サービス
WAF 2.0 (透過プロキシモード)
WAF 3.0 (サービス統合モード)
CLB
サポートされています。
透過プロキシモードでWAF 2.0をCLBに接続する方法の詳細については、以下のトピックを参照してください。
サポートされていません。
ALB
Alibaba CloudアカウントにWAF 2.0インスタンスがある場合、透過プロキシモードでWAF 2.0インスタンスをALBに接続できます。 詳細については、「トラフィックリダイレクションポートの設定」の「ALBインスタンスのトラフィックリダイレクションポットの設定」セクションをご参照ください。
Alibaba CloudアカウントにWAF 2.0インスタンスがない場合、またはWAFが有効化されていない場合は、WAF 3.0のみALBに接続できます。 この場合、WAF対応のALBインスタンスを購入する必要があります。
サポートされています。
サポートされているリージョンと関連する操作の詳細については、「WAF対応ALBインスタンスのアクティブ化と管理」をご参照ください。
透過プロキシモードでCLBまたはALBのWAF 2.0を有効にすると、タイムアウト期間と証明書が同期されないのはなぜですか。
WAF 2.0をALBまたはCLBと統合すると、クライアント要求はALBまたはCLBに転送される前にWAFによってフィルタリングされます。 リクエストは2つのゲートウェイを通過し、WAFとALBまたはCLBの間で設定を同期する必要があります。 タイムアウト期間または証明書を変更すると、遅延が原因で同期の問題が発生する可能性があります。
証明書が更新されない場合、またはタイムアウト期間の変更が有効にならない場合は、DingTalkグループ21715946に参加して相談してください。
関連ドキュメント
ALBドキュメント
WAF対応のALBインスタンスを購入する方法の詳細については、「ALBインスタンスの作成」をご参照ください。
基本、標準、およびWAF対応のALBインスタンスの機能の詳細については、「機能と機能」をご参照ください。
WAF対応ALBインスタンスのクォータの増加をリクエストする方法の詳細については、「制限」をご参照ください。
ALBコンソールでALBインスタンスのエディションを変更する方法の詳細については、「ALBインスタンスのエディションの変更」をご参照ください。
APIを呼び出してALBインスタンスのエディションを変更する方法の詳細については、「UpdateLoadBalancerEdition」をご参照ください。
WAFドキュメント
サブスクリプションWAF 3.0インスタンスの購入方法の詳細については、「サブスクリプションWAF 3.0インスタンスの購入」をご参照ください。
従量課金WAF 3.0インスタンスの購入方法の詳細については、「従量課金WAF 3.0インスタンスの購入」をご参照ください。
WAF 3.0とWAF 2.0の違い、およびWAF 3.0の改善については、「WAF 3.0とWAF 2.0の比較」をご参照ください。