使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款

IPリスト解析でブロックするIPにCloudFrontのIPが含まれる可能性は?

0

以下サイトで案内されている「IPリスト解析」をテンプレートから実装する不正アクセス防止対策を検討しています。
https://aws.amazon.com/jp/answers/security/aws-waf-security-automations/)
サードパーティのIP評価リストを元に、悪意のあるIPアドレスがAWS WAFブロックリストに追加する機能について確認させてください。
■前提
設定対象のシステムが、CloudFrontを利用する別システムとシステム間連携をしています。
システム間連携の中で、通信が発生するため、CloudFrontで利用するIPがブロックリストに追加されると問題が発生します。
■確認事項
「IPリスト解析」でブロックするIP範囲に、CloudFrontで利用するIPが該当してしまう可能性はありますでしょうか?

已提問 6 年前檢視次數 369 次
3 個答案
0

"システム間連携" の具体的な内容がわからないため、なんとも言えない部分がありますが、CloudFront 起点の通信が発生するとは考え難いと思いますので可能性は低いのではないでしょうか。
また、WAF がデプロイされる箇所を経由しないで通信させるなど、設計で回避できるものではないでしょうか?

已回答 6 年前
0

ご回答ありがとうございます。
"システム間連携"とは、CloudFrontで公開されたWebサイトから、WAFを通して公開するWebサイトへのOAuth認証を指します。
既に、両Webサイトは公開済み、OAuth認証も実装済みで、WAF側にはCloudFrontのIPから通信が届いています。
最悪、認証部分は「CloudFront」または「WAF」を通さない方式に変更もあり得ますが、可能であれば現状の実装方式の上で、CloudFormationテンプレートを利用したセキュリティ対策を実現したいと考えています。
そのため、「IPリスト解析」でブロックするIP範囲に、CloudFrontで利用するIPが該当してしまう可能性を気に掛けております。

已回答 6 年前
0

"システム間連携"とは、CloudFrontで公開されたWebサイトから、WAFを通して公開するWebサイトへのOAuth認証を指します。

情報提供ありがとうございます。
IPリスト解析から論点がずれてしまい申し訳ありません。
外部サイトですが、具体的な実施内容について参考になる情報を見つけました。

http://blog.serverworks.co.jp/tech/2017/09/27/awswaf-cfn/

ブロック対象になるかどうかは、以下に記載のある 3 つの URL に配置される IP アドレスリストに登録されるかどうか次第で決定されます。これらのリストのポリシー次第で追加される (かなり低いと考えますが) 可能性はありそうです。

https://github.com/awslabs/aws-waf-security-automations/blob/3f9afeff52def452f2f6693be75a5fea725f4d10/deployment/aws-waf-security-automations.template#L922

絶対に問題が発生しないように対処しようとすると、ブロックしたくない IP アドレスを除外して作成されたことが保証される独自のブラックリストを参照するしかないかもしれません。

已回答 6 年前

您尚未登入。 登入 去張貼答案。

一個好的回答可以清楚地回答問題並提供建設性的意見回饋,同時有助於提問者的專業成長。

回答問題指南

相關內容