Alibaba Cloud WAFを他プロダクトと組み合わせる(GA編)

■はじめに

こんにちは。ソリューションアーキテクトの赤羽です。今回はAlibaba Cloudのセキュリティプロダクトの一つWAF(Web Application Firewall)に関して書いていきます。WAF単体でのご紹介ではなく、Alibaba Cloudの他プロダクトとの組み合わせについてご紹介したいと思います。

Alibaba Cloud WAFの概要については過去記事のご参照をお願いします。

www.sbcloud.co.jp

■組み合わせ例

WAFはWEBアプリケーション防御のためのセキュリティプロダクトです。そのため、WEBアクセスに関係するプロダクトと組み合わせることができます。

  • WAF+GA(Global Accelerator)
  • WAF+CDN (Content Delivery Network)
  • WAF+Alibaba Cloud DNS
  • WAF+Anti-DDoS
    (※Anti-DDoS BasicはWAF立ち上げ時より有効)

など。

■WAF+GA

ご紹介した組み合わせの中から、今回はWAF+GAの構成について取り上げ、構築の流れと注意点をお話していきたいと思います。

GA(Global Accelerator)とはリージョン間の通信をアクセラレーション(高速化)する、というプロダクトです。 WEBアプリケーションと組み合わせて利用されるケースが多いです。

WAFとGAを組み合わせる場合、下記例のような配置になります。各インスタンスアイコン上の番号はデプロイの順番を記しています。

f:id:sbc_akahane:20200911141202p:plain
WAF(香港)→GA(香港)→WEBサーバ(東京)構成図

■設定の流れ、注意点。

設定順番は下記となります。特に③のWAFとGAの紐づけが重要なポイントですので、 間違えないようにしましょう。

① WEBサーバを立てる
② GAを購入し、WEBサーバのIPアドレスと紐づける
③ WAFを購入し、GAのCNAMEを紐づける
④ ネームサーバにWAFのCNAMEを登録する

それでは早速、流れをご説明していきたいと思います。

■前提

  • WAFとGAは香港に、WEBサーバは東京に立てる
  • 独自ドメインは取得済み
  • ECS、GA、WAFインスタンスは購入済み
  • ネームサーバはお名前.comを利用

■手順

※本構成をするにあたり重要なポイントを抜き出して記載していきます。 各プロダクトごとの設定方法は公式サイトのドキュメントをご参照ください。

www.alibabacloud.com

www.alibabacloud.com

1. 【GA設定】WEBサーバと紐づける

(※WEBサーバ構築、GAインスタンス購入手順は省略します)

帯域幅パッケージ購入

帯域幅パッケージを購入します。 中国本土以外のリージョンにアクセラレーションエリアを置くため、 プレミアム帯域プランを購入します。 クロスボーダ帯域幅は不要です。

Global Accelerator > インスタンス > 基本帯域プランの購入
帯域タイプ、契約期間を選択し、購入。

f:id:sbc_akahane:20200911171828p:plain

帯域幅パッケージバインド

Global Accelerator > 帯域幅 > インスタンスのバインド
仕様がプレミアムであることを確認。

f:id:sbc_akahane:20200911172012p:plain

バインドするGAインスタンスをリスト内から選択する。

f:id:sbc_akahane:20200910184935p:plain

アクセラレーションエリアに香港を指定
 

Global Accelerator > インスタンス > 対象のインスタンス > アクセラレーションエリア > アクセラレーションエリアの追加

f:id:sbc_akahane:20200911165712p:plain
アクセラレーションエリア:アジア太平洋
リージョン:中国(香港)
帯域幅:購入パッケージ範囲内で帯域を割り当てる

f:id:sbc_akahane:20200910193854p:plain

WEBサーバを紐づける
 

インスタンス > 対象のインスタンス > リスナー > リスナーの作成

f:id:sbc_akahane:20200910195525p:plain

各項目を入力する

f:id:sbc_akahane:20200910195542p:plain

エンドポイント(WEBサーバ)の情報を入力する。 バックエンドサービスにWEBサーバのIPアドレスを入力する。

f:id:sbc_akahane:20200910195607p:plain

内容を確認して、設定を完了。

f:id:sbc_akahane:20200910195626p:plain
GAの設定はこれで完了です。

2.【WAF設定】GAとの紐付け

(※WAFインスタンス購入手順は省略します)

WAFインスタンスは紐付けするドメインに一番近いリージョンでデプロイされます(自動選択)。WAFを香港で立ち上げるには、香港のインスタンス(今回の場合、香港GAのCNAME)と紐付けする必要があります。

ドメイン名の追加(GAのCNAMEで登録)

Web Application Firewall > Webサイトアクセス > ドメイン名の追加

f:id:sbc_akahane:20200910200308p:plain

WEBサイトのドメインを入力する。(※WAF内での管理上の設定。DNS登録は別途必要です。)
宛先サーバにGAのCNAMEを入力

f:id:sbc_akahane:20200911170244p:plain

3.【DNS設定】DNSレコードにWAFのCNAMEを登録する

お名前ドットコムのDNSレコード設定画面にて、 対象ドメイン・ホストのレコードにWAFのCNAMEを設定する。

f:id:sbc_akahane:20200911155720p:plain

■設定後の確認

名前解決確認

インターネット上で名前解決(ドメイン名がWAFのCNAMEで解決されること)ができれば本構成の設定完了です。 ネームサーバによって反映まで時間がかかることがあります。

(例)nslookupコマンドで名前解決確認 f:id:sbc_akahane:20200911155510p:plain

WAFの動作確認

設定したURLに対して、SQL文埋め込み、WEBアクセスしてみました。 しっかりブロックされました。

f:id:sbc_akahane:20200911161916p:plain

■まとめ

WAF+GAの組み合わせ方法についてご紹介いたしました。 各インスタンスのCNAMEを紐づけていく、というのが特徴かと思います。 特に注意が必要なのは2.【WAF設定】GAとの紐付けの手順。このケースの場合は必ずGA(香港)のCNAMEを紐づけてください。 間違って東京リージョンのWEBサイトのIPを設定してしまうと、 WAFのインスタンスが東京で立ち上がり、WAF(東京)→GA(香港)→WEBサイト(東京)という遠回りの構成になってしまいます。

WAF(香港)+GA(香港)構築時のポイントは、

・GAの帯域幅はプレミアム帯域幅を購入すること
・WAFに紐づけるのはGAのCNAMEにすること

です。構築の際はご注意ください。

■関連記事

www.sbcloud.co.jp www.sbcloud.co.jp www.sbcloud.co.jp www.sbcloud.co.jp