法人のお客さま
お問い合わせ
ビジネスブログ

Alibaba Cloud WAFをGlobal Accelerator(GA)と組み合わせる

赤羽 啓

ソリューションアーキテクト
赤羽 啓

2020年9月11日掲載

こんにちは。ソリューションアーキテクトの赤羽です。今回はAlibaba Cloudのセキュリティプロダクトの一つWeb Application Firewall(WAF)に関して書いていきます。WAF単体でのご紹介ではなく、Alibaba Cloudの他プロダクトとの組み合わせについてご紹介します。

目次

組み合わせ例

WAFはWebアプリケーション防御のためのセキュリティプロダクトです。そのため、Webアクセスに関係するプロダクトと組み合わせることができます。

  • WAF+GA(Global Accelerator)
  • WAF+CDN (Content Delivery Network)
  • WAF+Alibaba Cloud DNS
  • WAF+Anti-DDoS
    (※Anti-DDoS BasicはWAF立ち上げ時より有効)

など。

WAF+Global Accelerator(GA)

ご紹介した組み合わせの中から、今回はWAF+Global Accelerator(GA)の構成について取り上げ、構築の流れと注意点をお話していきたいと思います。

GAとはリージョン間の通信をアクセラレーション(高速化)する、というプロダクトです。 Webアプリケーションと組み合わせて利用されるケースが多いです。

WAFとGAを組み合わせる場合、下記例のような配置になります。各インスタンスアイコン上の番号はデプロイの順番を記しています。

WAF(香港)→GA(香港)→WEBサーバ(東京)構成図 WAF(香港)→GA(香港)→WEBサーバ(東京)構成図

設定の流れ、注意点。

設定順番は下記となります。特に③のWAFとGAの紐づけが重要なポイントですので、間違えないようにしましょう。

① Webサーバを立てる
② GAを購入し、WebサーバのIPアドレスと紐づける
③ Webを購入し、GAのCNAMEを紐づける
④ ネームサーバにWAFのCNAMEを登録する

それでは早速、流れをご説明していきたいと思います。

前提

  • WAFとGAは香港に、Webサーバは東京に立てる
  • 独自ドメインは取得済み
  • ECS、GA、WAFインスタンスは購入済み
  • ネームサーバはお名前.comを利用

手順

※本構成をするにあたり重要なポイントを抜き出して記載していきます。 各プロダクトごとの設定方法は公式サイトのドキュメントをご参照ください。

関連リンク

Web Application Firewall の概要 | Alibaba Cloud ドキュメントセンター

Global Accelerator の概要 | Alibaba Cloud ドキュメントセンター

1. 【GA設定】Webサーバと紐づける

(※Webサーバ構築、GAインスタンス購入手順は省略します)

帯域幅パッケージ購入

帯域幅パッケージを購入します。 中国本土以外のリージョンにアクセラレーションエリアを置くため、 プレミアム帯域プランを購入します。 クロスボーダ帯域幅は不要です。

Global Accelerator > インスタンス > 基本帯域プランの購入
帯域タイプ、契約期間を選択し、購入。

帯域幅パッケージバインド

Global Accelerator > 帯域幅 > インスタンスのバインド
仕様がプレミアムであることを確認。

バインドするGAインスタンスをリスト内から選択する。

アクセラレーションエリアに香港を指定

Global Accelerator > インスタンス > 対象のインスタンス > アクセラレーションエリア > アクセラレーションエリアの追加

アクセラレーションエリア:アジア太平洋
リージョン:中国(香港)
帯域幅:購入パッケージ範囲内で帯域を割り当てる

Webサーバを紐づける

インスタンス > 対象のインスタンス > リスナー > リスナーの作成

各項目を入力する

エンドポイント(Webサーバ)の情報を入力する。 バックエンドサービスにWebサーバのIPアドレスを入力する。

内容を確認して、設定を完了。

GAの設定はこれで完了です。

2.【WAF設定】GAとの紐付け

(※WAFインスタンス購入手順は省略します)

WAFインスタンスは紐付けするドメインに一番近いリージョンでデプロイされます(自動選択)。WAFを香港で立ち上げるには、香港のインスタンス(今回の場合、香港GAのCNAME)と紐付けする必要があります。

ドメイン名の追加(GAのCNAMEで登録)

Web Application Firewall > Webサイトアクセス > ドメイン名の追加

Webサイトのドメインを入力する。(※WAF内での管理上の設定。DNS登録は別途必要です。)
宛先サーバにGAのCNAMEを入力

3.【DNS設定】DNSレコードにWAFのCNAMEを登録する

お名前ドットコムのDNSレコード設定画面にて、 対象ドメイン・ホストのレコードにWAFのCNAMEを設定する。

設定後の確認

名前解決確認

インターネット上で名前解決(ドメイン名がWAFのCNAMEで解決されること)ができれば本構成の設定完了です。 ネームサーバによって反映まで時間がかかることがあります。

(例)nslookupコマンドで名前解決確認

WAFの動作確認

設定したURLに対して、SQL文埋め込み、Webアクセスしてみました。 しっかりブロックされました。

まとめ

WAF+GAの組み合わせ方法についてご紹介いたしました。 各インスタンスのCNAMEを紐づけていく、というのが特徴かと思います。 特に注意が必要なのは2.【WAF設定】GAとの紐付けの手順。このケースの場合は必ずGA(香港)のCNAMEを紐づけてください。 間違って東京リージョンのWebサイトのIPを設定してしまうと、 WAFのインスタンスが東京で立ち上がり、WAF(東京)→GA(香港)→Webサイト(東京)という遠回りの構成になってしまいます。

WAF(香港)+GA(香港)構築時のポイントは、

  • GAの帯域幅はプレミアム帯域幅を購入すること
  • WAFに紐づけるのはGAのCNAMEにすること

です。構築の際はご注意ください。

関連サービス

Alibaba Cloud

サービスをみる

 \ 業務課題をデジタルで支援 /

デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。

中小規模のお客さま向けサイトをみる

メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。

おすすめの記事

条件に該当するページがございません

法人のお客さま向け イベント

イベント・セミナー

ビジネスに役立つ 資料ダウンロード

資料ダウンロード

「今」と「未来」を発信 ソフトバンクのビジネスブログ

ビジネスブログ

クラウドテクノロジーブログ

クラウドテクノロジーブログ