webサービスをWebアプリケーションファイアウォール (WAF) に追加した後、データ漏洩防止モジュールの保護ルールを設定して、異常な返されたコンテンツをフィルタリングし、IDカード番号、電話番号、銀行カード番号、機密単語などの機密情報をマスクできます。 その後、WAFはマスクされた情報またはデフォルトの応答ページをクライアントに返します。 このトピックでは、データ漏洩防止モジュールの保護テンプレートを作成し、保護ルールをテンプレートに追加する方法について説明します。
制限事項
クラウドネイティブモードでApplication Load Balancer (ALB) インスタンス、Microservices Engine (MSE) インスタンス、またはFunction Compute関連のドメイン名に対してWAF保護を有効にした場合、関連する保護されたオブジェクトはデータ漏洩防止モジュールをサポートしません。
前提条件
WAF 3.0インスタンスを購入しました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。
Webサービスは、保護されたオブジェクトとしてWAF 3.0に追加されます。 詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
手順1: データ漏洩防止モジュールの保護テンプレートを作成する
データ漏洩防止モジュールは、デフォルトの保護テンプレートを提供しません。 データ漏洩防止モジュールの保護ルールを有効にする前に、モジュールの保護テンプレートを作成し、保護ルールをテンプレートに追加する必要があります。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
では、データ漏れ防止のセクション基本的なWeb保護ページをクリックします。テンプレートの作成.
説明データ漏洩防止モジュールの保護テンプレートを初めて作成する場合は、[基本的なWeb保護] ページの上部にある [データ漏洩防止] カードの [今すぐ設定] をクリックすることもできます。
では、テンプレートの作成-データ漏洩防止パネル、パラメータを設定し、OK.
パラメーター
説明
テンプレート名
テンプレートの名前を指定します。
テンプレートの名前は1 ~ 255文字で、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。
ルール設定
[ルールの作成] をクリックして、テンプレートの保護ルールを作成します。 テンプレートの作成後に保護ルールを作成することもできます。 詳細については、「手順2: データ漏洩防止モジュールの保護テンプレートに保護ルールを追加する」をご参照ください。
申請先
テンプレートを適用する保護オブジェクトと保護オブジェクトグループを選択します。
保護対象オブジェクトまたは保護対象オブジェクトグループに適用できる保護モジュールのテンプレートは1つだけです。 保護オブジェクトの追加と保護オブジェクトグループの作成方法の詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
デフォルトでは、新しく作成された保護テンプレートが有効になります。 テンプレートリストの保護テンプレートに対して次の操作を実行できます。
テンプレートに関連付けられている保護オブジェクトおよび保護オブジェクトグループの数を 保護対象 / グループ 列に表示します。
ステータス 列のスイッチをオンまたはオフにして、テンプレートを有効または無効にします。
[操作] 列の 編集 または 削除 をクリックして、テンプレートを変更または削除します。
テンプレート名の左側にある
アイコンをクリックして、テンプレート内の保護ルールを表示します。
手順2: データ漏洩防止モジュールの保護テンプレートに保護ルールを追加する
保護テンプレートは、テンプレートに保護ルールを追加した後にのみ有効になります。 保護テンプレートの作成時に保護ルールを作成した場合は、この手順をスキップできます。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
では、データ漏れ防止セクションで、保護ルールを追加する保護テンプレートを見つけて、ルールの作成で、アクション列を作成します。
では、ルールの作成ダイアログボックスでパラメーターを設定し、OK.
パラメーター
説明
ルール名
ルールの名前を指定します。
ルールの名前には、英数字、ピリオド (.) 、アンダースコア (_) 、およびハイフン (-) を使用できます。
マッチ条件
検出する機密情報の種類を指定します。 有効な値:
ステータスコード: 400、401、402、403、404、500、501、502、503、504、405-499、505-599
機密情報: IDカード番号、クレジットカード番号、携帯電話番号、およびデフォルトの機密情報
重要データ漏洩防止モジュールは、中国本土でサポートされている形式のデータのみを処理できます。 データには、IDカード番号、携帯電話番号、銀行カード番号が含まれます。
ステータスコードと機密情報には複数のオプションを選択できます。
ANDを選択した場合、検出用のURLを指定できます。 これにより、WAFは指定されたページの機密情報のみを検出します。
Action
検出された機密情報に対してWAFで実行するアクションを選択します。
Match ConditionパラメーターをStatus Codeに設定した場合、次の操作を選択できます。
Monitor: ルールに一致するリクエストをログに記録し、リクエストをブロックしません。
Block: ルールに一致するリクエストをブロックし、リクエストを開始したクライアントにブロックページを返します。
一致条件パラメーターを [機密情報] に設定した場合、次のアクションを選択できます。
Monitor: ルールに一致するリクエストをログに記録し、リクエストをブロックしません。
Mask: ルールに一致するリクエストの機密情報をアスタリスク (*) に置き換え、リクエストをブロックしません。
デフォルトでは、新しく作成された保護ルールが有効になります。 ルールリスト内の保護ルールに対して次の操作を実行できます。
ステータス 列のスイッチをオンまたはオフにして、ルールを有効または無効にします。
[操作] 列の 編集 または 削除 をクリックして、ルールを変更または削除します。
次のステップ
[セキュリティレポート] ページの [データ漏洩防止] タブで、設定された保護ルールの保護の詳細を表示できます。 詳細については、「データ漏洩防止モジュール」をご参照ください。
関連ドキュメント
WAF 3.0の保護オブジェクト、保護モジュール、および保護プロセスの詳細については、「保護構成の概要」をご参照ください。
API操作を呼び出して保護テンプレートを作成する方法の詳細については、「CreateDefenseTemplate」をご参照ください。
API操作を呼び出して保護ルールを作成する方法の詳細については、「CreateDefenseRule」をご参照ください。