Amazon Web Services ブログ

AWS Amplify でホストされたサイト向けのファイアウォールサポート

3 月 26 日、AWS WAFAWS Amplify ホスティングの統合の一般提供についてお知らせします。

ウェブアプリケーションの所有者は、さまざまな脅威からアプリケーションを保護する取り組みを続けています。以前は、Amplify でホストされたアプリケーションに強固なセキュリティ体制を実装するには、AWS WAF 保護機能を備えた Amazon CloudFront ディストリビューションを使用してアーキテクチャを作成する必要がありましたが、これには追加の設定手順、専門知識、そして管理オーバーヘッドが必要でした。

Amplify ホスティング内の AWS WAF の一般提供により、Amplify コンソールでのワンクリック統合を介して、または Infrastructure as Code (IaC) を使用して、ウェブアプリケーションファイアウォールを AWS Amplify アプリに直接アタッチできるようになりました。この統合により、一般的なウェブエクスプロイトと SQL インジェクションやクロスサイトスクリプティング (XSS) などの脆弱性に対する保護を提供するマネージドルールを始めとする AWS WAF のすべての機能にアクセスできるようになります。特定のアプリケーションニーズに基づいて独自のカスタムルールを作成することもできます。

この新機能は、ウェブアプリケーションに多層防御セキュリティ戦略を実装するのに役立ちます。AWS WAF のレートベースのルールを利用して、IP アドレスからのリクエストのレートを制限することで、分散型サービス拒否 (DDoS) 攻撃から保護できます。さらに、ジオブロッキングを実装して、アプリケーションへの特定の国からのアクセスを制限できます。これはサービスが特定の地域向けに設計されている場合に特に役立ちます。

仕組みを見てみましょう
Amplify アプリケーションの AWS WAF 保護は簡単に設定できます。Amplify コンソールから、アプリの設定に移動し、[ファイアウォール] タブを選択し、設定に適用する定義済みルールを選択します。AWS Amplify ホスティングでの AWS WAF 統合

Amplify ホスティングではファイアウォールルールの設定が簡素化されます。4 つの保護カテゴリを有効にできます。

  • Amplify が推奨するファイアウォール保護 – ウェブアプリケーションに見られる最も一般的な脆弱性から保護し、Amazon の内部脅威インテリジェンスに基づいて潜在的な脅威から IP アドレスをブロックし、悪意のある攻撃者がアプリケーションの脆弱性を発見するのを防ぎます。
  • amplifyapp.com へのアクセスを制限 – Amplify が生成したデフォルトの amplifyapp.com ドメインへのアクセスを制限します。これはカスタムドメインを追加してボットや検索エンジンがドメインをクロールするのを防ぐ場合に便利です。
  • IP アドレスの保護を有効にする – 指定した IP アドレス範囲からのリクエストを許可またはブロックして、Web トラフィックを制限します。
  • 国の保護を有効にする – 特定の国に基づいてアクセスを制限します。

Amplify コンソールで保護を有効にすると、基盤となるウェブアクセスコントロールリスト (ACL) が AWS アカウントに作成されます。きめ細かいルールセットには、AWS WAF コンソールのルールビルダーを使用できます。

数分経つとルールがアプリケーションに関連付けられ、AWS WAF は疑わしいリクエストをブロックします。

AWS WAF の動作を確認する場合は、AWS WAF リクエストインスペクション機能を使用して攻撃をシミュレートし、モニタリングすることができます。例えば、User-Agent 値が空のリクエストを送信することが可能です。その場合、AWS WAF のブロッキングルールがトリガーされます。

まず、有効なリクエストをアプリに送信してみます。

curl -v -H "User-Agent: MyUserAgent" https://main.d3sk5bt8rx6f9y.amplifyapp.com/
* Host main.d3sk5bt8rx6f9y.amplifyapp.com:443 was resolved.
...(redacted for brevity)...
> GET / HTTP/2
> Host: main.d3sk5bt8rx6f9y.amplifyapp.com
> Accept: */*
> User-Agent: MyUserAgent
> 
* Request completely sent off
< HTTP/2 200 
< content-type: text/html
< content-length: 0
< date: Mon, 10 Mar 2025 14:45:26 GMT
Curl

サーバーが HTTP 200 (OK) メッセージを返したことが確認できます。

次に、User-Agent HTTP ヘッダーに値が関連付けられていないリクエストを送信します。

 curl -v -H "User-Agent: " https://main.d3sk5bt8rx6f9y.amplifyapp.com/ 
* Host main.d3sk5bt8rx6f9y.amplifyapp.com:443 was resolved.
... (redacted for brevity) ...
> GET / HTTP/2
> Host: main.d3sk5bt8rx6f9y.amplifyapp.com
> Accept: */*
> 
* Request completely sent off
< HTTP/2 403 
< server: CloudFront
... (redacted for brevity) ...
<TITLE>ERROR: The request could not be satisfied</TITLE>
</HEAD><BODY>
<H1>403 ERROR</H1>
<H2>The request could not be satisfied.</H2>
Curl

サーバーが HTTP 403 (Forbidden) メッセージを返したことが確認できます。

AWS WAF ではリクエストパターンを可視化できるため、時間の経過にしたがってセキュリティ設定をファインチューニングできます。Amplify ホスティングまたは AWS WAF コンソールからログにアクセスして、トラフィックの傾向を分析し、必要に応じてセキュリティルールを調整できます。

AWS Amplify ホスティングでの AWS WAF 統合 – ダッシュボード

利用可能なリージョンと料金
ファイアウォールのサポートは、Amplify ホスティングが利用可能なすべての AWS リージョンで利用できます。Amazon CloudFront と同様に、この統合は AWS WAF グローバルリソースに該当します。ウェブ ACL は複数の Amplify ホスティングアプリに接続できますが、対象となるアプリは同じリージョンに存在する必要があります。

この統合の料金は、標準の AWS WAF の料金モデルに従います。ウェブ ACL、ルール、リクエストの数に基づいて、使用する AWS WAF リソースの料金をお支払いいただきます。さらに、AWS Amplify ホスティングでは、アプリケーションにウェブアプリケーションファイアウォールをアタッチすると、1 か月あたり 15 USD の追加料金が発生します。これは時間単位で計算されます。

この新機能により、個々の開発者から大企業まで、すべての Amplify ホスティングのお客様にエンタープライズグレードのセキュリティ機能が提供されます。同じサービス内でウェブアプリケーションを構築、ホスト、保護することができるようになったため、アーキテクチャの複雑さが軽減され、セキュリティ管理が合理化されます。

詳細については、Amplify の AWS WAF 統合ドキュメントを参照するか、Amplify コンソールで直接試してみてください。

– seb

ニュースブログはいかがでしたか? こちらの 1 分間のアンケートにぜひご協力ください!

(このアンケートは外部企業に委託して行われます。AWS は、AWS プライバシー通知に記載されているとおりにお客様の情報を取り扱います。AWS は、このアンケートを通じて収集したデータを所有し、収集した情報をアンケートの回答者と共有することはありません)

原文はこちらです。