Alibaba Cloud WAF クラウドネイティブモードでの実装方法

2023年2月28日掲載

はじめに

ソリューションアーキテクトの赤羽です。今回はAlibaba Cloud WAFのクラウドネイティブモードの実装方法をご紹介します。2022年10月にWAF3.0が正式リリースし、あらたにクラウドネイティブモードでの実装が可能になりました。クラウドネイティブモードはECSやALBにWAF機能を追加する形で実装できるため、別プロダクトとして意識することなくWAFを実装できます。従来の実装方法はCNAMEレコードモードと呼ばれ、公式的にはクラウドネイティブモードを推奨しています。

Alibaba Cloud WAF の実装モードの種類

現在、Alibaba Cloud WAFの実装方法はCNAMEモードとクラウドネイティブモードの2つです。それぞれ実装イメージは下記となります。

こちらはWAF実装前の環境です。

■CNAMEレコードモード

CNAMEレコードモードはDNS設定を変更することにより、クライアントとWEBサーバとの間にWAFを割り込ませる形で実装します。稼働中のWEBサイトに実装する際、各所設定変更によるサービス断が発生するため注意が必要です。

■クラウドネイティブモード

クラウドネイティブモードは、WEBサーバのフロントとして稼働しているECSやALBにWAF機能追加する形で実装します。たとえばALBの場合、ALBをWAF Enableエディションにアップグレードするだけで、サービス影響なくWAFを実装できます。

実装手順

今回はALBでのWAFクラウドネイティブモード実装手順を紹介します。※ECSとALBの基本的な設定が完了している前提で説明します。

1.ALBをWAF Enabledエディションにアップデートする

1-1.AlibabaCloudのコンソールにログイン

Server Load Balancerコンソール　＞　ALB　＞　Instances　＞対象のALBインスタンスを選択

1-2.Instance Details タブ　＞　WAF Protection の右側にある「Enable Protection」をクリック

1-3.Edition　＞　WAF Enabled を選択　＞　Buy Nowをクリック

1-4.ALBインスタンス一覧に戻り、対象のインスタンスを確認。

盾のアイコンに色がついていればWAFが適用されています。

※カーソルを合わせると WAF Protection が Protection Enabled になっていることを確認できます。

2.WAFコンソールで設定を確認する

2-1.Web Application Firewall コンソールへ移動

Website Configuration　＞　Cloud Nativeタブをクリック

右側の一覧に先ほどのALBがあればOKです。

2-2.デフォルトで基本的な防御設定が有効になっていますので、試しに無効なSQL構文を含めてHTTPSアクセスしてみます。

WAFによりブロックされました。クラウドネイティブモードの実装手順は以上となります。

ALBをWAF Enabledエディションにアップデートするだけで簡単にWAFを実装することができました。サービス断なく実装できるので、たとえば一時的にWAFを有効にして、ブロック状況をモニターしてみるという使い方もできそうです。料金ですが、ALBのアップデート増額分に加え、WAFのインスタンス費用も追加となりますのでご注意ください。

まとめ

今回はAlibaba CloudのWAF3.0でリリースされたクラウドネイティブモードの実装方法をご紹介しました。従来のCNAMEレコードモードに比べ構成がシンプルになること、稼働中のWEBサイトを停止することなく実装できることがメリットです。従量課金でも使えるようになっていますので、Alibaba Cloud WAF3.0を試してみるのはいかがでしょうか。