- 新しい順
- 投票が多い順
- コメントが多い順
"システム間連携" の具体的な内容がわからないため、なんとも言えない部分がありますが、CloudFront 起点の通信が発生するとは考え難いと思いますので可能性は低いのではないでしょうか。
また、WAF がデプロイされる箇所を経由しないで通信させるなど、設計で回避できるものではないでしょうか?
ご回答ありがとうございます。
"システム間連携"とは、CloudFrontで公開されたWebサイトから、WAFを通して公開するWebサイトへのOAuth認証を指します。
既に、両Webサイトは公開済み、OAuth認証も実装済みで、WAF側にはCloudFrontのIPから通信が届いています。
最悪、認証部分は「CloudFront」または「WAF」を通さない方式に変更もあり得ますが、可能であれば現状の実装方式の上で、CloudFormationテンプレートを利用したセキュリティ対策を実現したいと考えています。
そのため、「IPリスト解析」でブロックするIP範囲に、CloudFrontで利用するIPが該当してしまう可能性を気に掛けております。
"システム間連携"とは、CloudFrontで公開されたWebサイトから、WAFを通して公開するWebサイトへのOAuth認証を指します。
情報提供ありがとうございます。
IPリスト解析から論点がずれてしまい申し訳ありません。
外部サイトですが、具体的な実施内容について参考になる情報を見つけました。
http://blog.serverworks.co.jp/tech/2017/09/27/awswaf-cfn/
ブロック対象になるかどうかは、以下に記載のある 3 つの URL に配置される IP アドレスリストに登録されるかどうか次第で決定されます。これらのリストのポリシー次第で追加される (かなり低いと考えますが) 可能性はありそうです。
絶対に問題が発生しないように対処しようとすると、ブロックしたくない IP アドレスを除外して作成されたことが保証される独自のブラックリストを参照するしかないかもしれません。
関連するコンテンツ
- AWS公式更新しました 2年前