Serverless NEG(Network Endpoint Group)を設定し、ロードバランサとGAEと連携する

Gmailに表示されるハングアウト(Google Hangouts)履歴を削除する

MacBookProの調子が悪い(冷却ファンが高速回転する、バッテリー消費が激しい)時の対処

Wifi6ルーターを導入しました(NEC Aterm WX6000HPレビュー)

GAE+CloudeSQL+GCSでWordPressを構築する④(GAE,GCSリソースの作成)

GCPロードバランサでhttpリクエストをhttpsでリダイレクトする

JBL Professional 104 BT-Y3 レビュー

GAEで運用しているWordPressブログの運用コストを公開(AWS運用時のコスト比較付き)

GAE(SE)で運用中のWordPressサイトマップ(sitemap.xml)の対応

Shure AONIC 215が再販されました

AMIMOTO AMIをGCPへ移行する②(アーキテクト検討)

AWS CloudFormationでVPC設定を自動化する

Googleデータポータルを利用してBigQueryのログを可視化する

GAEで運用しているWordPressブログの運用コストを公開(ロードバランサ+Cloud Armor+Cloud CDNを連携した構成)

Nuro光開通までの軌跡

Amazon Data Lifecycle Manager(DLM)を試してみました

AZLA SednaEarfit XELASTECをShure イヤホンに装着する方法

BigQueryで認証エラーとなっているアクセスログを検索する

AWSでWordPressを構築する③(AWS WAF設置)

AWS

2020.08.132018.08.26

この記事は約2分で読めます。

目次

今回やろうとしていること
設定手順
1. 前提条件
2. WAFの設定
料金について
まとめ

スポンサーリンク

今回やろうとしていること

こちらの記事で紹介されていますが、管理画面系は攻撃対象になるようです。

なので、CloudFront⇔AWS WAF(以下WAF)連携によるセキュリティ強化、具体的には

ログイン機能(wp-login.php)には指定IP(自宅やオフィス)からのみアクセス許可
それ以外のIPはアクセス拒否

する仕組みを設定し、自衛策を講じます。

補足

WAFはあくまで補助的なセキュリティ対策を行うものであり、

AWSの各種リソースに対する適切なセキュリティ設定や権限付与
OSやDBの設定やパッチ適用

etc…といった箇所でのセキュリティ対策をお忘れなく。

スポンサーリンク

設定手順

前提条件

CloudFrontが設定済である必要があります。
CloudFrontの設定についてはこちらの記事を参考にして下さい。

WAFの設定

こちらの記事を参考にさせて頂きました。
いつもありがとうございます。

用語や概念など分かりづらい箇所は、調べながら設定すると理解が深まると思います。

ハマったこと

自宅のグローバルIPは許可する設定をしているにも関わらずブロックされました(涙)
WAFのLogを見てみると、BlockLogがこうなっていました。

許可設定したIPアドレスはIPv4、WAFに通知されたIPアドレスはIPv6。
IPアドレス不一致でそりゃブロックされますね。

私が契約しているプロバイダはWAFに対してグローバルIPをIPv6で通知しているようです。
[IP match condition]をブロックされたIPv6に変更し無事解決。

※IPv6では指定するサブネットは[/128]となる点ご注意下さい。

スポンサーリンク

料金について

2018/8/26現在

1WebACLあたり$5/月
1ルールあたり$1/月
100万リクエストあたり$0.6

スポンサーリンク

まとめ

他の類似サービスに比べたら安価だと思います。
個人でやるには割高感は否めませんが、享受できるセキュリティメリットも大きいと思います。

参考資料

タイトルとURLをコピーしました