IPリスト解析でブロックするIPにCloudFrontのIPが含まれる可能性は?

0

以下サイトで案内されている「IPリスト解析」をテンプレートから実装する不正アクセス防止対策を検討しています。
https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/)
サードパーティのIP評価リストを元に、悪意のあるIPアドレスがAWS WAFブロックリストに追加する機能について確認させてください。
■前提
設定対象のシステムが、CloudFrontを利用する別システムとシステム間連携をしています。
システム間連携の中で、通信が発生するため、CloudFrontで利用するIPがブロックリストに追加されると問題が発生します。
■確認事項
「IPリスト解析」でブロックするIP範囲に、CloudFrontで利用するIPが該当してしまう可能性はありますでしょうか?

g_ict
質問済み 5年前276ビュー
3回答
0

"システム間連携" の具体的な内容がわからないため、なんとも言えない部分がありますが、CloudFront 起点の通信が発生するとは考え難いと思いますので可能性は低いのではないでしょうか。
また、WAF がデプロイされる箇所を経由しないで通信させるなど、設計で回避できるものではないでしょうか?

semnil
回答済み 5年前
0

ご回答ありがとうございます。
"システム間連携"とは、CloudFrontで公開されたWebサイトから、WAFを通して公開するWebサイトへのOAuth認証を指します。
既に、両Webサイトは公開済み、OAuth認証も実装済みで、WAF側にはCloudFrontのIPから通信が届いています。
最悪、認証部分は「CloudFront」または「WAF」を通さない方式に変更もあり得ますが、可能であれば現状の実装方式の上で、CloudFormationテンプレートを利用したセキュリティ対策を実現したいと考えています。
そのため、「IPリスト解析」でブロックするIP範囲に、CloudFrontで利用するIPが該当してしまう可能性を気に掛けております。

g_ict
回答済み 5年前
0

"システム間連携"とは、CloudFrontで公開されたWebサイトから、WAFを通して公開するWebサイトへのOAuth認証を指します。

情報提供ありがとうございます。
IPリスト解析から論点がずれてしまい申し訳ありません。
外部サイトですが、具体的な実施内容について参考になる情報を見つけました。

http://blog.serverworks.co.jp/tech/2017/09/27/awswaf-cfn/

ブロック対象になるかどうかは、以下に記載のある 3 つの URL に配置される IP アドレスリストに登録されるかどうか次第で決定されます。これらのリストのポリシー次第で追加される (かなり低いと考えますが) 可能性はありそうです。

https://github.com/awslabs/aws-waf-security-automations/blob/3f9afeff52def452f2f6693be75a5fea725f4d10/deployment/aws-waf-security-automations.template#L922

絶対に問題が発生しないように対処しようとすると、ブロックしたくない IP アドレスを除外して作成されたことが保証される独自のブラックリストを参照するしかないかもしれません。

semnil
回答済み 5年前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン