本手順はCyberNEOから各WAFルールの動作モード(ルールアクション)を変更する方法を解説します。導入時に動作モードを「ログ」モードに設定することで、Webリクエストに影響を与えずルールの検知状況を確認することができます。反対に「ブロック」モードにすることでルールが条件に一致した場合、Webリクエストをブロックをすることができます。「許可」モードはルールが一致した場合にその他のルールで一致しても無条件にWebリクエストを許可するモードになります。無条件に許可したい条件がある場合に活用できます。CyberNEOはCyberNEO以外で作成したルールも操作が可能なため、お客様が作成したルールも本手順で動作モードを変更することができます。
本手順はCyberNEOで特定のURIパス対して特定のAWS WAFルールを無効にする方法を記載します。アプリケーションの仕様により、あるAWS WAFルールで誤検知が発生する場合、発生している箇所「パス」を入力することでそのパスに対して特定のAWS WAFルールを無効にすることができます。AWS WAFルールの条件をURIパス単位で調整したい場合に本手順により設定を行ってください。
本手順はCyberNEOで特定の送信元IPからのアクセスに対してWAF機能を無効にする方法を記載します。脆弱性診断を行う場合は特定のネットワークからWAF機能を無効にした場合はこの手順を実施してください。
本手順はCloudFront にAWS WAF (WebACL)を割り当てる方法について記載します。CyberNEOでWebACLを作成した後、以下の手順でCloudFrontにAWS WAFの設定を有効にしてください。
本手順はAWS WAF (WebACL)をAPI Gatewayに割り当てる方法について記載します。CyberNEOでWebACLを作成した後、以下の手順でAPI GatewayにAWS WAFの設定を有効にしてください。
本手順はALB (Application Load Balancer) にAWS WAF (WebACL)を割り当てる方法について記載します。CyberNEOでWebACLを作成した後、以下の手順でALBにAWS WAFのWebACLを割りててWAF機能を有効にしてください。
本手順は既存のWebACL(AWS WAF)をすでにお客様で作成して運用しており、そのWebACLを引き続き活用してCyberNEOで利用した場合の登録方法になります。新規でWebACL(AWS WAF)を作成する場合は「CyberNEOポータルから新規WebACL(AWS WAF)を作成する方法」を参照してください。
AWS WAFを制御するためにCyberNEOではAssumeRoleでIAMロールに割り当てられている権限を一時的に発行されたセキュリティクレデンシャルで引き受けます。。この方法は固定のアクセスキーとシークレットで接続を行う方法とはことなり、接続時に信頼関係にあるアカウントに対して一時的に発行されるため安全に接続することができます。アクセスキーとシークレットで接続する場合、その情報が漏洩した場合のリスクが大きいため、CyberNEOではAssumeRoleで接続しております。
CyberNEOはWebACLの作成とAWS WAFログ設定をCyberNEOポータル上から自動的に行うことができます。本手順はWebACLをCyberNEOポータルから新しく作成して利用する場合の手順になります。既存のWebACLをCyberNEOで利用する場合は「CyberNEOポータルから既存WebACL(AWS WAF)を登録する方法」を参照してください。