概要

Cloud Armorに適用されるWafCharmルールについて説明します。

Security Policy に投入されるカスタムルールのモードについて

WafCharm が初期投入するカスタムルールは全て Preview モードになります。

もしも WafCharm のカスタムルールで遮断を開始したいということであれば、Google Cloud コンソールから Preview モードを解除してください。一括でモードの変更が可能な UI となっております。

また、ブラックリスト IP アドレスについては WafCharm コンソールの対象 WAF Config から、Blacklist Option の設定を変更することでいつでもモードを変更可能です。反映には 5 ~ 10 分程度かかります。

WafCharmルールの順位について

WafCharm がお客様の Security Policy にカスタムルールを投入する際は、特定の priority を利用します。

また、初期投入時にお客様の作成したカスタムルールが存在する場合、特定の prioirity 領域（20000 - 29999）にカスタムルールを退避します。

以下の表の「ユーザ独自ルール & カスタマイズルール」という領域にあるルールは WafCharm のシステムによって影響を受けない領域です。 逆にそうでない領域にあるルールは WafCharm のシステムによって管理され、内容を上書きされたり削除されたりする可能性があります。

注意点

• Allowlistルール、Denylistルールは、IPアドレスの数によってルールの数が変動します。
  • Cloud Armorのルールごとに最大10個のIPアドレスを登録可能という仕様によるものです。
• Denylistルールには、「シグネチャ再マッチング機能によって追加されたIPアドレス」「IPレピュテーションによって追加されたIPアドレス」「WAF Config上でお客様自身で登録したIPアドレス」が反映されます。

Allowlistについて

WAF Configにある [ルール設定] にてAllowlistにIPアドレスを登録すると、最優先で許可するIPアドレスとして登録されます。

管理者様など、信頼できるアクセス元からのリクエストを許可したい場合や、誤検知時等に一時的にリクエストを許可したい場合などにご活用いただけます。

セキュリティポリシー上では、「WafCharmWhitelistXXX」というような説明のルールとして登録されます。XXXは管理上の番号を表します。

Allowlistルールは、IPアドレスの数によってポリシーに登録されるルールの数が変動します。
※Cloud Armorのルールごとに最大10個のIPアドレスを登録可能という仕様によるものです。

制限事項・注意点

• 複数のIPアドレスを登録する場合は、半角カンマあるいは改行で区切ってください。
• WafCharm管理画面上で登録できるIPアドレスは最大1000個です。
• CIDR 登録は、/8 と /16 ~ /32 での登録が可能となります。
• IPv6 につきましては対応しておりません。
• CIDR の指定が無い場合は、/32 として処理されます。

Denylistについて

Denylistルールは、IPアドレスを元にリクエストをブロックするルールです。

セキュリティポリシー上では、「WafCharmBlacklistXXX」というような説明のルールとして登録されます。XXXは管理上の番号を表します。

Denylistルールは、IPアドレスの数によってポリシーに登録されるルールの数が変動します。
※Cloud Armorのルールごとに最大10個のIPアドレスを登録可能という仕様によるものです。

含まれる機能

Denylistには、以下の機能が含まれます。

• アクセスログを数百ものシグネチャに再マッチング処理をしており、都度Denylist登録する機能（1時間毎更新）
• 弊社独自のIPレピュテーションによるDenylist機能（1日毎）
• WafCharm管理画面より、お客様自身でIPアドレスを登録するDenylist機能（5~10分程度で反映）

アクセスログの再マッチング機能

上記のうち、以下の機能を指します：

アクセスログを数百ものシグネチャに再マッチング処理をしており、都度Denylist登録する機能（1時間毎更新）

WAF Configに設定された情報を元にアクセスログを取得し、シグネチャに再マッチングする機能です。攻撃と思われる内容を含むリクエストがあった場合は、当該リクエストのIPアドレスをDenylistに登録します。

IPアドレスを常時自動で更新するため、更新状況により、IP アドレスの登録・解除を繰り返すケースもあります。

IPレピュテーション機能

上記のうち、以下の機能を指します：

弊社独自のIPレピュテーションによるDenylist機能（1日毎）

弊社独自のIPレピュテーションにより、IPアドレスの登録・解除を行います。IPアドレスを常時自動で更新するため、更新状況により、IP アドレスの登録・解除を繰り返すケースもあります。

手動で登録するDenylist機能

上記のうち、以下の機能を指します：

WafCharm管理画面より、お客様自身でIPアドレスを登録するDenylist機能（5~10分程度で反映）

お客様自身で手動でIPアドレスを登録いただく機能です。

制限事項・注意点

• 複数のIPアドレスを登録する場合は、半角カンマあるいは改行で区切ってください。
• WafCharm管理画面上で登録できるIPアドレスは最大1000個です。
• CIDR 登録は、/8 と /16 ~ /32 での登録が可能となります。
• IPv6 につきましては対応しておりません。
• CIDR の指定が無い場合は、/32 として処理されます。

Denylist Optionについて

Denylist Optionは、WAF Configに含まれる設定項目の1つです。

この項目では、WafCharmが提供するDenylistのルールアクションや利用有無を選択します。

• BLOCK: Denylistのルールアクションがブロックになります。
• PREVIEW: Denylistのルールアクションがプレビューになります。
• DISABLE: Denylistのすべての機能が無効になり、Denylistルールはポリシーに適用されません。

Deny例外リストについて

Denylistに登録したくないIPアドレスを登録するための機能です。

上記Denylist機能のうち、自動でIPアドレスの登録・解除を行う機能ではリクエストを検査した上でDenylistへ登録を行っています。

リクエストがシグネチャにマッチした際にIPアドレスがDenylistに登録される仕組みとなりますので、もしお客様管理のIPアドレスなどで、他のWafCharmルールでは検査したいが、Denylistには登録したくないものがある場合には、あらかじめ例外設定を行うことで、そのIPアドレスがDenylistに登録されてしまうことを回避できます。

制限事項・注意点

• 複数のIPアドレスを登録する場合は、半角カンマあるいは改行で区切ってください。
• 登録可能数は、最大1000件です。
• IPアドレスはCIDRでの指定も可能です。指定可能なCIDRは、/1 ~ /32 です。
• IPv6 には対応しておりません。
• CIDR の指定が無い場合は、/32 として処理されます。