webサービス用にMicroservices Engine (MSE) インスタンスが設定されている場合、MSEインスタンスのWebアプリケーションファイアウォール (WAF) 3.0保護を有効にできます。 このトピックでは、MSEインスタンスのWAF保護を有効にする方法について説明します。
背景情報
MSEは、主流のオープンソースのマイクロサービスエコシステム向けに開発されたエンドツーエンドのマイクロサービスプラットフォームです。 MSEは、マイクロサービスレジストリ、クラウドネイティブゲートウェイ、およびマイクロサービスガバナンスのモジュールを提供します。 Microservices Registryは、ネイティブのNacos、ZooKeeper、およびEurekaエンジンをサポートしています。 Cloud-native Gatewayは、ネイティブIngressとEnvoyをサポートします。 Microservices Governanceは、ネイティブのSpring Cloud、Dubbo、およびSentinelをサポートし、OpenSergoに準拠しています。 WAF 3.0は、MSEクラウドネイティブゲートウェイと統合されています。 これにより、webサービスのO&M効率とセキュリティが向上し、シームレスでインタラクティブなユーザーエクスペリエンスが確保されます。
制限事項
次のAlibaba Cloudサービスのいずれかを使用するWebサービスをクラウドネイティブモードでWAFに追加できます。Application Load Balancer (ALB) 、Microservices Engine (MSE) 、Function Compute、Classic Load Balancer (CLB) 、Elastic Compute Service (ECS) 、およびNetwork Load Balancer (NLB) 。
. 前述のAlibaba Cloudサービスを使用しないwebサービスを保護するためにWAFを使用する場合は、CNAMEレコードモードでwebサービスのドメイン名をWAFに追加します。 詳細については、「WAFへのドメイン名の追加」をご参照ください。
WAF保護を有効にするMSEインスタンスは、次のいずれかのリージョンに存在する必要があります。中国 (杭州),中国 (上海),中国 (北京),中国 (ウランカブ),中国 (香港),シンガポール, マレーシア (クアラルンプール),中国 (張家口),中国 (深セン),日本 (東京),ドイツ (フランクフルト)、および米国 (シリコンバレー).
WAF保護が有効になっているMSEインスタンスでは、次の機能を有効にすることはできません。
ウェブサイトの改ざん防止
データ漏洩防止
ボット管理によるWebアプリケーション保護でのweb SDKの自動統合
前提条件
クラウドネイティブゲートウェイが作成されます。 詳細については、「クラウドネイティブゲートウェイの作成」をご参照ください。
サブスクリプションWAFインスタンスを使用する場合は、WAFに追加した保護対象オブジェクトの数が上限を超えないようにしてください。 上限を超えると、クラウドサービスインスタンスをWAFに追加できなくなります。
WAFに追加できる保護されたオブジェクトの数を表示するには、
MSEインスタンスのWAF保護の有効化
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
クラウドネイティブタブで、左側のクラウドサービスリストに表示されるMSEをクリックします。
WAFインスタンスにMSEへのアクセスが許可されていない場合は、[即時許可] をクリックして、WAFインスタンスにMSEへのアクセスを許可します。 [OK] を選択して承認を確認します。 次に、[今すぐ試す] をクリックします。
Alibaba Cloudは、AliyunServiceRoleForMSEサービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールを表示するには、Resource Access Management (RAM) コンソールにログインし、左側のナビゲーションウィンドウで を選択します。
追加をクリックします。 MSEコンソールにリダイレクトされます。
上部のナビゲーションバーで、中国 (杭州),中国 (上海),中国 (北京),中国 (ウランカブ),中国 (香港),シンガポール, マレーシア (クアラルンプール),中国 (張家口),中国 (深セン),日本 (東京),ドイツ (フランクフルト)、または米国 (シリコンバレー)リージョンの
WAF保護を有効にします。
インスタンスレベルの保護を有効にします。
WAF保護を有効にするゲートウェイを見つけ、[WAF保護] 列のアイコンの上にポインターを移動し、[ゲートウェイ保護の有効化] をクリックします。 [操作] 列で
を選択することもできます。 [WAF保護の有効化] ダイアログボックスで、[OK] をクリックします。ルートレベルの保護を有効にします。
WAF保護を有効にするゲートウェイを見つけ、ゲートウェイの名前をクリックし、[基本情報] ページの左側のナビゲーションウィンドウで
を選択します。 [操作] 列の [ルート設定] をクリックすることもできます。WAF保護を有効にするルートを見つけ、[操作] 列の
を選択します。 [OK] をクリックします。
MSEコンソールでのWAF保護の管理
MSEコンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、中国 (杭州),中国 (上海),中国 (北京),中国 (ウランカブ),中国 (香港),シンガポール, マレーシア (クアラルンプール),中国 (張家口),中国 (深セン),日本 (東京),ドイツ (フランクフルト)、または米国 (シリコンバレー)リージョンの
WAF保護を管理します。
WAF保護が有効になっているMSEインスタンスを表示します。
インスタンスリストでは、WAF保護が有効になっているMSEインスタンスを表示できます。 アイコンがMSEインスタンスの名前の右側に表示されている場合、MSEインスタンスのWAF保護が有効になります。
MSEインスタンスのWAF保護を無効にします。
MSEインスタンスのWAF保護を無効にすると、MSEインスタンスで生成されたwebサービストラフィックはWAFによって保護されなくなり、WAFセキュリティレポートにはwebサービストラフィックの保護の詳細が含まれなくなります。
重要MSEインスタンスのWAF保護を無効にすると、リクエスト処理料金は課金されなくなります。 ただし、MSEインスタンス用に設定した保護ルールに対しては、引き続き機能料金が請求されます。 WAFからMSEインスタンスを削除する前に、保護ルールを削除することを推奨します。 詳細については、「課金の概要」および「保護モジュールの概要」をご参照ください。
インスタンスレベルの保護を無効にします。
WAF保護を無効にするゲートウェイを見つけ、[WAF保護] 列のアイコンをクリックし、[ゲートウェイ保護の無効化] をクリックします。 [操作] 列で
を選択することもできます。 [WAF保護の無効化] ダイアログボックスで、[OK] をクリックします。ルートレベルの保護を無効にします。
WAF保護を無効にするゲートウェイを見つけ、ゲートウェイの名前をクリックし、[基本情報] ページの左側のナビゲーションウィンドウで
を選択します。 [操作] 列の [ルート設定] をクリックすることもできます。WAF保護を無効にするルートを見つけ、[操作] 列で
を選択します。 [OK] をクリックします。
WAFコンソールでのWAF保護の管理
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
WAF保護を管理します。
WAF保護が有効になっているMSEインスタンスを表示します。
[クラウドネイティブ] タブで、左側のクラウドサービスリストで [MSE] をクリックします。
保護オブジェクトと保護ルールを設定します。
MSEインスタンスのWAF保護を有効にすると、MSEインスタンスは自動的にWAFの保護対象オブジェクトになります。 保護されたオブジェクトの名前には、
-mse
サフィックスが含まれます。 デフォルトでは、保護対象オブジェクトに対して基本保護ルールが有効になっています。 [保護されたオブジェクト] ページで、保護されたオブジェクトを表示し、オブジェクトの保護ルールを設定できます。 [保護されたオブジェクト] ページに移動するには、[Webサイト設定] ページの [クラウドネイティブ] タブでMSEインスタンスのIDをクリックします。 詳細については、「保護設定の概要」をご参照ください。WAFからMSEインスタンスを削除します。
WAFからMSEインスタンスを削除すると、インスタンスで生成されたwebサービストラフィックはWAFによって保護されなくなり、WAFセキュリティレポートにはwebサービストラフィックの保護の詳細が含まれなくなります。
重要MSEインスタンスのWAF保護を無効にすると、リクエスト処理料金は課金されなくなります。 ただし、MSEインスタンス用に設定した保護ルールに対しては、引き続き機能料金が請求されます。 WAFからMSEインスタンスを削除する前に、保護ルールを削除することを推奨します。 詳細については、「課金の概要」および「保護モジュールの概要」をご参照ください。
削除するインスタンスを見つけて、[操作] 列の [削除] をクリックします。
MSEコンソールの [ゲートウェイ] ページにリダイレクトされます。
MSEコンソールでWAF保護を無効にします。 詳細については、「MSEインスタンスのWAF保護の無効化」をご参照ください。