概要
Azure向けのWAF Configの設定方法を説明します。
WAF Configでは、WafCharmを利用するWAF Policyの情報を登録します。
WAF Configを設定すると、WafCharmルールをWAF Policyに投入できるようになります。
以降の手順では、WafCharmからお客様のAzure上のリソースにアクセスできるよう、Secretなどの値を入力する箇所と、アクセスログを取得するための設定を行う必要があります。
Azure Portalにて事前に必要な権限を付与したロールの作成と、アクセスログが取得できるような設定を行っておくと、とスムーズに進行できます。
注意事項
- WAF Policy Configの設定を一度完了した後は、Resource Group NameとWAF Policy Nameは変更できません。
設定手順
- WafCharmコンソールを開く
- 左メニューの [WAF] をクリックする
- [WAF Config] 枠の右上にある「新規登録」をクリックする
- [WAF Policy Config Name] を入力する
WafCharm上で識別するために利用する項目です。任意の値を入力してください。
後から変更可能です。
- [Resource Group Name] を入力する
対象のWAF Policy が属するリソースグループの名前を入力してください。
- [WAF Policy Name] を入力する
対象のWAF Policy のリソース名を入力してください。
- [Service Type] を確認する
[Application Gateway] が選択されています。
- [Subscription ID] を入力する
必要な権限 (Azure) にてアプリケーションやカスタムロールの登録を行ったサブスクリプションのIDを貼り付けます。
- [Client ID] を入力する
必要な権限 (Azure) で登録したアプリケーションの [アプリケーション (クライアント) ID] を貼り付けます。
- [Tenant ID] を入力する
必要な権限 (Azure) で登録したアプリケーションの [ディレクトリ (テナント) ID] を貼り付けます。
- [Secret] を入力する
必要な権限 (Azure) で登録したシークレットの [値] を貼り付けます。
- [Default Action] を選択する
Block: ルールアクションをBlockで登録します。
Log: ルールアクションをLogで登録します。
参考:ルールアクションの変更方法 (Azure)
なお、上記の通りAzureではルールごとにアクションの変更が必要なため、最終的にBlockで運用する想定の場合はここではBlockを選択した上で、WAF Policyのモードを検知モードにすることをおすすめします。
- 次のステップに進み、ルール設定にて適宜各種ルールの設定を行う
後から変更することも可能です。
- Allowlist:登録したIPアドレスからのリクエストを許可します。
- Denylist:登録したIPアドレスからのリクエストを遮断します。
- Deny例外リスト:Denylistに登録したくないIPアドレスを指定します。
- WafCharmには、お客様から提供されるアクセスログに対して再マッチングをし、動的にIPアドレスをDenylistに追加する機能を提供しています。リクエストがシグネチャにマッチした際にIPアドレスがDenylistに登録される仕組みとなりますので、もしお客様管理のIPアドレスなどで、他のWafCharmルールでは検査したいが、Denylistには登録したくないものがある場合には、あらかじめ例外設定を行うことで、そのIPアドレスがDenylistに登録されてしまうことを回避できます。
- Webサイト設定を追加する
アクセスログの設定方法 (Azure)
- 次のステップに進み、内容に問題なければ [登録] ボタンをクリックする
編集方法
登録済みのWAF Configを編集する場合は、以下の手順で行ってください。
- 左メニューから [WAF] をクリック
- 編集したいWAF Configの行をクリック
- 右上の [編集] ボタンをクリック
- 変更したい項目を調整し、[登録] ボタンをクリック
編集を行う際、左側に表示される以下3つの項目をクリックして、変更したい設定画面へ遷移できます。
削除方法
WAF Configを削除する場合は、以下の順序で行ってください。
- WAF Configを削除
- 左メニューから [WAF] をクリック
- 削除したいWAF Configの行をクリック
- 右下の [削除] ボタンをクリック
- [本当に削除しますか?] というポップアップが表示されるので、 [削除] をクリックする
- Azure Portal上のリソースを削除