（2022/10/01〜）AWS WAF において、Body ルールまたは JSON 本文ルールで設定が必須となる項目が追加されます

cloudpackサポートの田村です。

一部のAWSユーザーに対し、以下のメールがAWSから送信されています。

件名

[要対応] AWS WAF ルールセットを確認してください | [Action Required] Inspect your AWS WAF Rule Sets *****

本文

English follows Japanese | 英語のメッセージは日本語の後にございます

いつもお世話になっております。

2022 年 10 月 1 日までに、AWS WAF（Web Application Firewall）ルールを検査し、
サイズ制限ルールを適用するか、オーバーサイズの処理動作を定義するようお願いします。

（略）

このメールをご覧になった方の中には、メールに記載されている2022年10月1日も近づきご不安な方もいらっしゃるかと思います。
今回はこのアナウンスの内容について取り上げていきます。

どのようなユーザーに対してこのメールは送られている？

AWS WAFのウェブ ACLにおいて、以下に該当するルールが1つ以上あるユーザーに対して送られています。

ウェブ ACLでHTTP リクエスト本文 (または JSON 本文) を検査している
1.で使用しているウェブ ACL上にサイズ制約ルールステートメントが設定されていない

アナウンスの概要

2022年10月1日以降に既存のウェブ ACL の Body ルールまたは JSON 本文ルールを更新する際には、以下どちらかの対応を行う必要があります。

サイズ制限ルールの適用
オーバーサイズの処理動作の定義

更新の際にこの対応を行わない場合には、ルールの更新がエラーとなって失敗します。

AWS WAFでは、検査できるリクエストのサイズが8KBに制限されています。
8KBを超えるリクエストがあった場合には、リクエストの最初の8KBのみがWAF上で検査されます。
この仕様を逆手にとって、大きなリクエストの末尾に意図的にデータを配置することでWAFの検査をすり抜けて攻撃を試みるハッカーもいます。

このリスクを低減するため、「オーバーサイズの処理動作」の機能が2022年4月29日にリリースされました。
この機能は制限を超えたウェブリクエストがあった際に、そのリクエストをどう処理するかを以下の中からあらかじめ設定しておける機能です。

Continue
- サイズ制限の範囲でコンテンツを検査する
Match
- 検査することなくルールステートメントに一致するものとしてリクエストを扱う
No match
- 検査することなくルールステートメントに一致しないものとしてリクエストを扱う

この機能の利用はこれまで任意でしたが、HTTP リクエスト本文 (または JSON 本文) を検査するウェブACLを2022年10月1日以降に更新する際には、
この機能（オーバーサイズの処理動作）もしくは「サイズ制限ルール」の設定のどちらかが必須となります。

よくある質問

AWSからのメールに以下の記載があったけれど、 2022年9月30日までに今回アナウンスのあった設定を行わないと2022年10月1日以降はルール更新に失敗してしまうの？

2022 年 10 月 1 日までに、AWS WAF（Web Application Firewall）ルールを検査し、サイズ制限ルールを適用するか、オーバーサイズの処理動作を定義するようお願いします。

いいえ。サイズ制限ルールの適用/オーバーサイズの処理動作の定義を既存ルールに対して、2022年9月30日までに設定しておかなければ2022年10月1日以降にルールの更新ができなくなってしまうわけではございません。
2022年10月1日以降においても、既存ルールの更新が必要となったタイミングでサイズ制限ルールの適用/オーバーサイズの処理動作の定義を追加でご実施いただければルールの更新は可能です。

「オーバーサイズ処理動作」と「サイズ制限ルール」はどう使い分ければいいの？

基本的にはオーバーサイズ処理動作を設定すれば問題ありません。
以下のような場合にはサイズ制限ルールの設定をご検討ください。

オーバーサイズ処理動作の機能リリース前から存在する、サイズ制限ルールに馴染みがあり引き続き利用したい
サイズ制限ルールでのみ記述可能なユースケース（8 KB 以下ではなく 7 KB 以下でブロックしたい、など）で利用したい

まとめ

本アナウンスの内容は、2022年9月30日までに設定を行わないとWAFの挙動に支障をきたすものではございません。
しかしながら、HTTP リクエスト本文 (または JSON 本文) をAWS WAFのウェブ ACLで検査している場合においては、
「オーバーサイズ処理動作」もしくは「サイズ制限ルール」の設定をセキュリティの観点でもおすすめいたします。
これを機にルール設定の見直しをぜひご検討ください。

（2022/10/01〜）AWS WAF において、Body ルールまたは JSON 本文ルールで設定が必須となる項目が追加されます

件名

本文

どのようなユーザーに対してこのメールは送られている？

アナウンスの概要

よくある質問

AWSからのメールに以下の記載があったけれど、 2022年9月30日までに今回アナウンスのあった設定を行わないと2022年10月1日以降はルール更新に失敗してしまうの？

「オーバーサイズ処理動作」と「サイズ制限ルール」はどう使い分ければいいの？

まとめ

アイレット中途採用グループに特化した独自の『リスキリング研修』

RHEL9にPHP8.3系をインストールする

RHEL7を8に, 8を9にインプレースアップグレードする

https通信をtcpdumpでキャプチャしてWiresharkする方法

Cloud Run に負荷試験するときに気をつけたいこと

（2022/10/01〜）AWS WAF において、Body ルールまたは JSON 本文ルールで設定が必須となる項目が追加されます

件名

本文

どのようなユーザーに対してこのメールは送られている？

アナウンスの概要

よくある質問

AWSからのメールに以下の記載があったけれど、 2022年9月30日までに今回アナウンスのあった設定を行わないと2022年10月1日以降はルール更新に失敗してしまうの？

「オーバーサイズ処理動作」と「サイズ制限ルール」はどう使い分ければいいの？

まとめ

関連記事Related Articles

AWS WAF の国判定ができないクライアントIP

"AWS WAF"の情報源をまとめてみた

aws-nukeでAWSリソース削除を簡単に実施

CloudFront + AWS WAF(WebACL) のIP 制限ルール作り方

Amazon CloudFrontのログ出力設定について