Loading...
Back

Denylist、Allowlistについて

AWS WAF ClassicAWS WAF v2AzureGoogle CloudOld PlanNew PlanAdvancedLegacyFeature / Spec.

概要

Allowlistは特定のIPアドレスを許可するルール、Denylistは特定のIPアドレスをブロックするルールです。

Allowlistについて

Allowlistには、以下の機能が含まれます。Allowlistルールは、登録されたIPアドレスからのリクエストを許可します。正規表現ルールなど、その他のルールによってブロックされることはありません。

  • お客様自身でIPアドレスを登録するAllowlist機能(手動で登録する機能)

Allowlistを更新した際の反映までの時間は以下の通りです。

  • AWS WAF v2(旧プラン):5〜10分
  • AWS WAF v2 (新プラン):即時
  • Azure(新プラン・旧プラン):5〜10分
  • GCP(新プラン・旧プラン):5〜10分

Denylistについて

Denylistには、以下の機能が含まれます。登録されたIPアドレスからのリクエストをブロックします。
※Allowlistルールの方が先に評価される(優先される)ため、AllowlistとDenylistに同じIPアドレスが登録されていた場合、当該IPアドレスからのリクエストは許可されます。

  • ログを数百ものシグネチャに再マッチング処理をしており、都度Denylist登録する機能(動的Denylist機能)
  • 弊社独自のIPレピュテーションによるDenylist機能(IPレピュテーション機能)
  • お客様自身でIPアドレスを登録するDenylist機能(手動で登録する機能)

なお、Denylistの詳細については、ご利用のプラットフォームなどによっても異なります。

AWS WAF v2 Advanced Ruleポリシーの場合

  • 動的Denylist機能では、WAFログを使用して再マッチング処理を行います。
  • WAFログ連携(新方式)が有効になっていない場合には、動的Denylist機能が有効にならず、再マッチング処理は行われません。
  • WAFログ連携(新方式)の設定状況にかかわらず、IPレピュテーション機能と、手動で登録する機能の2つは利用可能です。
  • Advanced Ruleポリシーでは、以下の2つに分かれます。
    • WafCharm_DenyIps_XXX:手動で登録したIPアドレス用のDenylistルールです。
    • WafCharm_Automated_DenyIps_XXX:動的Denylist機能、IPレピュテーション機能で登録されたIPアドレス用のDenylistルールです。
  • Denylistの更新タイミングは以下の通りです。
    • 動的Denylist機能:5分毎。
    • IPレピュテーション機能:1日毎。
    • 手動で登録する機能:即時。

AWS WAF Classic/AWS WAF v2 Legacy Ruleポリシーの場合

  • 動的Denylist機能では、アクセスログを使用して再マッチング処理を行います。
  • Web Site Config(アクセスログ連携)の設定が行われていない場合には、動的Denylist機能が有効にならず、再マッチング処理は行われません。
  • Web Site Config(アクセスログ連携)の設定状況にかかわらず、IPレピュテーション機能と、手動で登録する機能の2つは利用可能です。
  • WafCharmでは、ALBおよびCloudFrontのアクセスログのみ処理が可能です。
  • Denylistの更新タイミングは以下の通りです。新プラン・旧プランで違いがあります。AWS WAF Classicは旧プランのみが対象です。
    • 動的Denylist機能:新プランの場合、5分毎。旧プランの場合、1時間毎。
    • IPレピュテーション機能:1日毎。
    • 手動で登録する機能:新プランの場合、即時。旧プランの場合、5〜10分。

Azureの場合

  • 動的Denylist機能では、アクセスログを使用して再マッチング処理を行います。
  • Webサイト設定が行われていない場合には、動的Denylist機能が有効にならず、再マッチング処理は行われません。
  • Webサイト設定の設定状況にかかわらず、IPレピュテーション機能と、手動で登録する機能の2つは利用可能です。
  • Denylistの更新タイミングは以下の通りです。新プラン・旧プランでの違いはありません。
    • 動的Denylist機能:1時間毎。
    • IPレピュテーション機能:1日毎。
    • 手動で登録する機能:5〜10分。

GCPの場合

  • 動的Denylist機能では、アクセスログを使用して再マッチング処理を行います。
  • WAF Configに登録された値を元に、アクセスログを取得します。Log Routing Sinkの設定などが行われていない場合、アクセスログの取得やルールの適用に失敗しますので、WafCharmの基本的な機能をご利用いただけない状態となります。
  • Denylistの更新タイミングは以下の通りです。新プラン・旧プランでの違いはありません。
    • 動的Denylist機能:1時間毎。
    • IPレピュテーション機能:1日毎。
    • 手動で登録する機能:5〜10分。