フォーム読み込み中
【2024年12月10日実施】要注意!Alibaba Cloudの従量課金制WAFの変更内容を解説
クラウドエンジニア
今井 廉
2023年、新卒入社。 新米エンジニアとして日々勉強を重ねています。
2024年12月27日掲載
ご覧いただきありがとうございます。クラウドエンジニアの今井です。
日本時間2024年12月10日1時00分にAlibaba CloudのWeb Application Firewall(WAF)において、製品仕様の変更が実施されました。
本記事では、具体的にどのような変更が行われたのか、ユーザにどのような影響があるのかについて詳しく紹介します。
1. Web Application Firewallとは
Alibaba CloudのWeb Application Firewall (WAF) は、WebサイトやWebアプリケーションを悪意のあるトラフィックから保護するためのサービスです。WAFはリアルタイムでトラフィックを監視し、悪意のあるリクエストを自動的にブロックすることで、Webサイト、Webアプリケーションのセキュリティを向上させます。詳細はWeb Application Firewall(公式ドキュメント)を参照してください。
2. 変更内容
日本時間2024年12月10日 1:00に実施された、従量課金制のWAFに対する変更は全部で5つあります。変更内容の一覧については次の表をご覧ください。特に影響の大きい変更については3.1以降で詳細をご紹介したいと思います。
変更種別 | 変更内容 |
|---|---|
課金に関する変更 | 課金項目の新規追加と既存の課金項目の調整(2.1 課金に関する変更) |
既存インスタンスの自動リリース | ドメイン名またはクラウドサービスアセットが追加されていない既存の従量課金制のWAFインスタンスが自動的にリリース |
仕様変更 | トラフィック課金保護機能で指定可能な閾値の最大値が変更 中国本土:100,000 QPS → 30,000 QPS |
仕様変更 | ボット管理モジュールのアプリ保護機能の提供終了 |
名称変更 | 「Basic web protection」が「Core web protection」に名称変更 |
2.1 課金に関する変更
従量課金制のWAFインスタンスでは、課金単位としてSecurity Capacity Unit(SeCU)が使用されています。このSeCUは、複数あるWAFの課金項目で統一の単位として用いられており、課金項目ごとに使用量-SeCUの換算式は異なります。今回行われた課金に関する変更は、このSeCUの計算(WAFの料金計算)に対して大きな影響を与えるため、その影響範囲について確認し理解を深めることが推奨されます。なお、課金に関する変更は、仕様変更が実施された2024年12月10日1:00以降の請求に対して適用されています。
※SeCUの単価は 1 SeCU = 0.01 USD
課金に関する1つ目の変更点として、課金項目に「WAF instance」と「Peak traffic throttling」が追加されています。特に「WAF instance」についてはWAFインスタンスそのものに対して1時間ごとに料金が発生するため注意が必要です。「Peak traffic throttling」は当該機能を使用する場合に料金が発生しますが、ルール1つあたりのSeCUが他の課金項目に比べて高いことは把握しておいたほうが良いと思います。
課金に関する2つ目の変更点として、既存の課金項目のSeCUの計算に変更が加えられています。加えられた変更は総じて値上げであるため、従来の利用状況と比較して請求額がどのように変動したかを確認することが推奨されます。確認の結果次第ではWAFインスタンスの利用方法の見直しも視野に入れる必要があるかと思います。
課金項目 | 変更前 | 変更後 |
|---|---|---|
WAF instance | - | 0.5 SeCU / hour |
Peak traffic throttling | - | 150 SeCU / rule-hour |
Core web protection - protection template | 1 SeCU / template-hour | 3 SeCU / template-hour |
Scan protection | 1 SeCU / rule-hour | 10 SeCU / rule-hour |
Peak QPS | Peak QPS ≤ 5,000: 0 SeCU / hour Peak QPS > 5,000: 1 SeCU / 5 QPS-hour | Peak QPS ≤ 1,000: 0 SeCU / hour Peak QPS > 1,000: 1 SeCU / 5 QPS-hour |
Custom rule | Basic rule: 1 SeCU / rule-hour Advance rule: 2 SeCU / rule-hour | Basic rule: 2 SeCU / rule-hour Advance rule: 5 SeCU / rule-hour |
Region blacklist | 3 SeCU / rule-hour | 10 SeCU / rule-hour |
Bot management | 1 SeCU / 10,000 requests ※端数がある場合は10,000の倍数に切り上げ | 1 SeCU / 7,500 requests ※端数がある場合は7,500の倍数に切り上げ |
API security | 1 SeCU / 10,000 requests ※端数がある場合は10,000の倍数に切り上げ | 1 SeCU / 7,500 requests ※端数がある場合は7,500の倍数に切り上げ |
Domain names added in CNAME record mode | ドメインの数 = 1: 0 SeCU 2 ≤ ドメインの数: 2 SeCU / additional domain-hour | ドメインの数 = 1: 0 SeCU 2 ≤ ドメインの数 ≤ 10: 5 SeCU / additional domain-hour 11 ≤ ドメインの数 ≤ 100: 3 SeCU / additional domain-hour 100 < ドメインの数: 1 SeCU / additional domain-hour |
Custom ruleについてはAdvance ruleとして扱われるルールの条件も変更されています。
■変更前
次のいずれかを満たすルールがAdvance rule
- 使用される一致フィールド:Body, Body Parameter
- ルールタイプがスロットル
- 使用される論理演算子:正規表現の一致と正規表現の不一致
- 高度なパラメータ構成:Canary ReleaseとEffective Mode
■変更後
次のいずれかを満たすルールがAdvance rule
- 使用される一致フィールド:Cookie, Content-Type, Content-Length, X-Forwarded-For, Body, Http-Method, File Extension, Filename, Server-Port, Header, Cookie Namet, Body Parameter
- ルールタイプがスロットル
- 使用される論理演算子:正規表現の一致と正規表現の不一致
- 高度なパラメータ構成:Canary ReleaseとEffective Mode
2.2 従量課金インスタンスの自動リリース
今回変更が実施された日本時間2024年12月10日 1:00時点で、保護対象としてドメイン名またはクラウドサービスアセットが追加されない従量課金のWAFインスタンスは自動的にリリースされました。今回課金に関する変更にて、WAFインスタンス自体も時間経過により料金が発生するようになりました。これにより、保護対象が設定されていない既存のWAFインスタンスに対して料金が発生する恐れがありましたが、自動リリースが行われたことでその心配は無用となりました。今後は、従量課金のWAFインスタンスに保護対象が設定されていない状態でも、WAFインスタンス自体の料金が発生する点には留意したほうが良いでしょう。
2.3 トラフィック課金保護機能の閾値変更
トラフィック課金保護機能はトラフィックの急増に際して、インスタンス利用料金の急増を防止する機能です。この機能により指定した閾値を実際のトラフィックが超過した場合、WAFインスタンスはサンドボックスに追加されます。WAFインスタンスがサンドボックスに追加された場合、WAF宛の通信が完全に不可能となるわけではありませんが、SLAは保証されない状態となり、パケット損失や接続制限などの例外が発生する可能性があります。なお、サンドボックスに追加されている間の料金は請求されません。WAFインスタンスがサンドボックスに追加されてから1時間後、トラフィックの確認が行われます。その際に指定した閾値を下回るようであればインスタンスがサンドボックスから削除され、再び料金が請求されるようになります。
今回の変更ではトラフィック課金保護機能の設定可能な閾値の最大値が、中国本土の場合は100,000 QPSから30,000 QPSに、中国本土以外の場合は10,000 QPSから3,000 QPSに変更されました。閾値の最大値が引き下げられたことで、以前ほどは柔軟な閾値設定ができなくなったため注意する必要があります。
おわりに
本記事では日本時間2024年12月10日 1:00に実施された従量課金制のWAFの仕様変更について紹介しました。今回実施された変更では、課金に関する変更から仕様変更までユーザ影響のある内容が多く含まれていましたので、ユーザにとっても注意を払うべき変更です。
今回紹介した変更以外にもAlibaba Cloudでは日々アップデートが行われています。ソフトバンクでは、1週間にAlibaba Cloudで実施されたアップデートをまとめて「Weekly Alibaba Cloud」として毎週公開していますので、興味を持たれた方は、ぜひ「Weekly Alibaba Cloud」もご覧いただければと思います。
関連サービス
Alibaba Cloudは中国国内でのクラウド利用はもちろん、日本-中国間のネットワークの不安定さの解消、中国サイバーセキュリティ法への対策など、中国進出に際する課題を解消できるパブリッククラウドサービスです。
MSP(Managed Service Provider)サービスは、クラウド導入から運用・保守・監視・活用方法までをソフトバンクのエンジニアがトータルサポートします。お客さまの運用負荷を軽減し、クラウド利用を促進します。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
