🛡️

【AWS】新しくなったWAFのコンソールを従来と比較してみた

に公開
AWS
WAF
tech

はじめに

AWS WAF Classicが終わったとほぼ同時にWAFのコンソールが新しくなったようなので、古い方と比較しながら調査してみました。
この記事では個人的に気になった点にフォーカスしてまとめております。

過去記事:【AWS】今からでも間に合うAWS WAF ClassicからAWS WAF (v2) へのマイグレーション

何が新しくなったのか?

新しいコンソールについての公式ドキュメントは、下記ページにありました。
https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html

さらにざっくりまとめると、以下の3つのポイントが新しくなったようです。

  1. 設定がシンプルに
    ◦ ガイド付きのワークフローが導入され、設定が簡単になった。従来は複数ページにまたがっていた設定が、1つのページに集約された。
    ◦ AWS推奨設定に基づいた「保護パック(WebACL)」テンプレートを利用すれば、すぐに保護を開始できる
  2. 監視が容易に
    セキュリティ関連のダッシュボードが一つに統合され、保護状況を一目で把握できるようになった
  3. 機能はそのまま、新旧を選択可能
    ◦ 新しいコンソールは、従来のコンソールの全機能を維持している。
    ◦ WAFを初めて使う方や、手早く設定したい方には新しいコンソールがおすすめ。
    ◦ これまで通り、細かいルールを個別に設定したい場合は、いつでも従来の「標準コンソール」に切り替えることが可能。

つまり新しいコンソールのほうが設定も簡単で見やすくなったという解釈が出来そうです。
今まで通りが良ければ従来通りのコンソールも使えますよ、という案内ですね。

...いつか新しいコンソールだけになってしまう予感は私だけでしょうか?

個人的に気になったのはURLでした。
新しいコンソールは選択中のリージョンが最初に来て、wafv2-proという名前になっています。

従来のコンソール
https://us-east-1.console.aws.amazon.com/wafv2/
新しいコンソール
https://ap-northeast-1.console.aws.amazon.com/wafv2-pro/

ダッシュボードを比較

ここからはすでに運用中のWebACLをもとに新旧のダッシュボードの比較をしてみます。

まずは従来通りのコンソール表示です。
Traffic overviewタブから最初に目に入るのは、直近3時間にどれだけのトラフィックリクエストに対応し、その時系列が何となく目に入るかと思います。
wafv2-01

その下の方へ行くと、botの検知数やクライアントデバイスの種類、どこの国からのアクセスが多いか等が把握できます。
wafv2-02

正直、WAF Classicから利用している人にとっては、これでもかなり分かりやすくなったと感じている人が殆どでしょう。

では次に新しいコンソールのダッシュボードを見てみます。

以前はWebACL名を選択することで初めにダッシュボード的な内容が閲覧できるTraffic overviewページに遷移しましたが、新しいコンソールでまっすぐその内容を見に行くにはダッシュボード列の対象のWebACL行にある「表示」を選択します。
wafv2pro-01

ダッシュボードページを開くと、従来と同様に直近3時間のトラフィックリクエストについて表示されます。
そして見慣れない「保護パック (ウェブ ACL) のアクティビティ 」という表示があり、画像は右側の赤い部分をマウスオーバーしている状態ですが、正直こちらはまだ私には直感的な表示には感じられませんでした。
wafv2pro-02

その下に進むと、「アクションの合計」・「すべてのルール」というタイトルで従来のコンソールと同様のメトリクスがより横幅広く確認できました。
英語から日本語になったのと、幅広になったことが見やすさ向上の要因でしょうか。
wafv2pro-03

さらに進むと、従来コンソールでは棒グラフだけだった国別のリクエストがGeo Mapとなり、より視認性が増してますね。
Googleアナリティクスのアクティブユーザのマップに似ているな、と見た瞬間思いました。
wafv2pro-04

Bot検出に関してもわかりやすい折れ線グラフが増えていてますね。
「あ、こいつらみんな00分に実行するcron動かしてやっているな」という雰囲気まで感じることができます。
wafv2pro-05

その下には、スクリーンショットは省きますが、サンプルリクエストが確認できます。
従来のコンソールですとSampled requestsタブで確認できる内容のものです。

確かに、ダッシュボード1ページでよく見るメトリクスが集約されているなと、強く感じました。

WebACL作成ページを比較

次はWebACL作成時の比較をしていきます。
正直、軽く比較しただけで、私は「新コンソール一択だな」と確信しました。

では見ていきましょう。

こちらは従来のコンソールの作成画面最初のページです。
wafv2-03
そしてこちらが新コンソールの作成画面最初のページです。
wafv2pro-06

一瞬で新しい方が分かりやすそう、という印象はあるかと思いますが、ちょっとだけ罠(?)がありました。
従来では最初に保護するリソースについてglobalかregionalかを選択しますが、新しい方にはすぐ見当たらないですよね。

そしてそれは「保護するリソースを選択」の所でリソースを追加する際に選択できるのですが、もしglobalリソースを選択したい場合、コンソールのリージョン選択がバージニア北部(us-east-1)でないと選択できない仕様でした。
wafv2pro-07
あ、確かに従来の方は最初のコンソールのドメインが強制でus-east-1になってましたよね。
納得です。

他に特筆したい点といえば、以下の悩みを解消させようとしているな、と強く感じたことです。

  • WAFのルール設定は何をすれば良いんだろう?
  • トータルの費用感は?

従来のコンソールでマネージドルールを設定する際は、以下の画面が表示されます。
wafv2-04
各ルールの費用感はそれぞれ表示されているものの、次の新コンソール版を見れば直感的ではない表示であると思うのも無理はないでしょう。

その新コンソール版は以下のような表示になっていました。
wafv2pro-08
1番初めに質問されている「アプリについて教えてください」の選択内容によって、推奨ルールや重要ルールが自動で提案される仕組みなっているのです。

もちろん、それ以外で設定したい場合は自分でカスタムルールも作成可能です。
何のルールが適切なのかわ分かりやすい上に、1ヶ月あたりの推定コストが初めに表示されている点は非常に嬉しいですよね。

おわりに

今回はAWS WAFの新しいコンソールについて、従来表示と比較してまとめてみました。
正直、英語表示から日本語表示になっただけでも助かる人が多いだろうなと思う中、それだけではなく分かりやすさを追求した良いアップデートだと強く感じました。

これを機にWAFの設定に苦手意識を持っていた方がいらっしゃいましたらアップデートしたコンソールを触ってみてはいかがでしょうか?
ここまで読んでいただきありがとうございました。

Discussion