Elastic Compute Service (ECS) インスタンスを作成した場合は、インスタンスのポートを Web Application Firewall (WAF) に追加して、インスタンスの Web トラフィックを WAF にリダイレクトして保護します。このトピックでは、ECS インスタンスの WAF 保護を有効にする方法について説明します。
背景情報
ECS は、Alibaba Cloud が提供する、高パフォーマンス、安定性、信頼性、スケーラビリティを備えた IaaS (Infrastructure as a Service) クラウドコンピューティングサービスです。 IT ハードウェアへの初期投資の必要性を排除し、アプリケーションを効率的にデプロイできます。 ECS を使用すると、変化する要件に基づいてリソースを動的にスケーリングし、トラフィックの急増に効果的に対応できます
ECS インスタンスの WAF 保護を有効にするには、ECS インスタンスのトラフィックリダイレクションポートを WAF に追加します。追加されると、トラフィックリダイレクションが有効になっているポートからのトラフィックは、特定のゲートウェイを介して WAF にリダイレクトされます。 WAF は悪意のあるトラフィックをフィルタリングし、通常のトラフィックを ECS インスタンスに転送します。次の図は、ネットワークアーキテクチャを示しています。
制限
次の Alibaba Cloud サービスのいずれかを使用する Web サービスは、クラウドネイティブモードで WAF に追加できます。Application Load Balancer (ALB)、マイクロサービスエンジン (MSE)、Function Compute、Classic Load Balancer (CLB)、Elastic Compute Service (ECS)、および Network Load Balancer (NLB)。. 前述の Alibaba Cloud サービスを使用していない Web サービスを WAF で保護する場合は、Web サービスのドメイン名を CNAME レコードモードで WAF に追加します。詳細については、「ドメイン名を WAF に追加する」をご参照ください。
項目 | 説明 |
サポートされているインスタンス | 次の要件を満たすインスタンスのみを WAF に追加します。
|
サポートされているリージョン |
|
トラフィックリダイレクションポートの数 | トラフィックリダイレクションポートの最大数は、保護対象オブジェクトの最大数と同じです。
|
サポートされているポート | 0 ~ 65535 の標準ポートと非標準ポートがサポートされています。詳細については、「サポートされているポートを表示する」をご参照ください。 |
Anti-DDoS Proxy および WAF によって保護されているサービス | Anti-DDoS Proxy と WAF を使用して Web サービスを保護する場合は、ドメイン名を追加することでサービスを Anti-DDoS Proxy に追加した場合にのみ、透過プロキシモードでサービスを WAF に追加します。 |
前提条件
WAF 3.0 インスタンスが購入されています。詳細については、「サブスクリプション WAF 3.0 インスタンスを購入する」および「従量課金 WAF 3.0 インスタンスを購入する」をご参照ください。
前述の要件を満たす ECS インスタンスが作成されています。要件の詳細については、このトピックの「制限」セクションを参照してください。 ECS インスタンスの作成方法については、「インスタンスを作成する」をご参照ください。
サブスクリプション WAF インスタンスを使用する場合は、WAF に追加された保護対象オブジェクトの数が上限を超えていないことを確認してください。数が上限を超えている場合は、クラウドサービスインスタンスを WAF に追加しないでください。
WAF に追加できる保護対象オブジェクトの数を表示するには、保護対象オブジェクトページ にアクセスします。
トラフィックリダイレクションポートを追加する
インスタンスを WAF に追加すると、Web サービスが数秒間中断される場合があります。クライアントが自動的に再接続できる場合、Web サービスは自動的に再開されます。ビジネス要件に基づいて、再接続メカニズムと原点復帰設定を構成します。
ECS インスタンスの WAF 保護を有効にした後に次の操作を実行すると、トラフィックリダイレクションポートは WAF から自動的に削除されます。ポートを WAF に再度追加しないと、ポート上のトラフィックは WAF によってフィルタリングされません。
インスタンスに関連付けられているパブリック IP アドレスを変更します。
移行タスクを作成し、ゾーンを変更します。
インスタンスをリリースします。
ECS インスタンスの WAF 保護を有効にすると、ECS インスタンスに関連付けられている Elastic IP アドレス (EIP) またはパブリック IP アドレス宛てのトラフィックは WAF にリダイレクトされます。
EIP を ECS インスタンスから関連付け解除すると、トラフィックリダイレクションは自動的に無効になります。
WAF 3.0 コンソール にログインします。 上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョンを選択します。中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
[クラウドネイティブ] タブで、左側のクラウドサービスリストの [ECS] をクリックします。
認証ページで、今すぐ許可する をクリックして、必要なクラウドサービスにアクセスするための WAF インスタンスを承認します。
Alibaba Cloud は、AliyunServiceRoleForWAF サービスロールを自動的に作成します。サービスロールを表示するには、Resource Access Management (RAM) コンソール にログインし、左側のナビゲーションウィンドウで を選択します。
説明認証が完了すると、認証ページは表示されません。次の手順に進むことができます。
[追加] をクリックします。
[インスタンスの設定 - ECS インスタンス] パネルで、パラメータを設定します。次の表にパラメータを示します。
パラメータ
操作
追加するインスタンスとポートを選択します。
[インスタンスの同期]
WAF に追加するインスタンスがインスタンスリストにない場合は、資産の同期 をクリックしてインスタンスリストを更新します。
[ポートの追加]
WAF に追加するインスタンスを見つけ、ポートの追加 列の 操作 をクリックします。
WAF に追加するポートの番号を入力し、Enter キーを押します。
ポート番号は WAF でサポートされている必要があります。[ポート範囲の表示] をクリックして、WAF でサポートされている HTTP ポートと HTTPS ポートを表示できます。詳細については、「サポートされているポートを表示する」をご参照ください。
WAF に追加するポートの [プロトコルタイプ] を選択します。有効な値: [HTTP] および [HTTPS]。
[HTTPS] を選択した場合は、証明書をアップロードする必要があります。
説明アップロードするデフォルト証明書と追加証明書の合計数は 25 を超えることはできません。さらに証明書をアップロードする場合は、アカウントマネージャーまたはソリューションアーキテクトにお問い合わせください。
デフォルト証明書
[HTTPS] を選択した場合は、詳細設定 をクリックして、次の詳細パラメータを構成できます。
WAF の前に Anti-DDoS Pro、Anti-DDoS Premium、または Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか
Anti-DDoS Proxy や Alibaba Cloud CDN など、WAF の前にレイヤー 7 プロキシがデプロイされているかどうかを指定します。有効な値: はい、いいえ。
デフォルトでは、No が選択されています。この値は、WAF がクライアントから送信されたリクエストを受信することを指定します。リクエストはプロキシによって転送されません。
説明リクエストがクライアントから WAF に送信されると、WAF は WAF への接続の確立に使用された IP アドレスをクライアントの IP アドレスとして使用します。IP アドレスは、リクエストの
REMOTE_ADDR
フィールドで指定されます。レイヤー 7 プロキシが WAF の前にデプロイされている場合は、Yes を選択します。この値は、WAF がレイヤー 7 プロキシによって WAF に転送されたリクエストを受信することを指定します。WAF がセキュリティ分析のためにクライアントの実際の IP アドレスを取得できるようにするには、クライアント IP の取得方法 パラメータを設定する必要があります。
リソースグループ
[リソースグループ] ドロップダウンリストから、ECS インスタンスを追加するリソースグループを選択します。リソースグループを選択しないと、ECS インスタンスは [デフォルトのリソースグループ] に追加されます。
説明リソース管理を使用して、Alibaba Cloud アカウント内で部門またはプロジェクト別にリソースグループを作成し、リソースを管理できます。詳細については、「リソースグループを作成する」をご参照ください。
詳細設定
WAF 保護を有効にする ECS インスタンスを選択し、[OK] をクリックします。
ECS インスタンスの WAF 保護を有効にすると、インスタンスは自動的に WAF の保護対象オブジェクトになります。保護対象オブジェクトの名前は、インスタンス ID - ポート番号 - アセットタイプの形式です。デフォルトでは、コア保護ルールモジュールの保護ルールは保護対象オブジェクトに対して有効になっています。[保護対象オブジェクト] ページで保護対象オブジェクトを表示し、オブジェクトの保護ルールを構成します。保護対象オブジェクトページに移動するには、[Web サイトの構成] ページの [クラウドネイティブ] タブで、WAF に追加した ECS インスタンスの ID をクリックします。詳細については、「保護構成の概要」をご参照ください。
WAF 保護を管理する
オリジンサーバーを表示し、トラフィックリダイレクションポートを管理する
ECS インスタンスの WAF 保護を有効にした後、オリジンサーバーの保護の詳細を表示し、緊急ディザスタリカバリシナリオでトラフィックリダイレクションを強制的に無効にするか、トラフィックリダイレクションポートを削除します。
アクセス管理 ページで、クラウドプロダクトアクセス タブをクリックします。
左側のクラウドサービスリストで、[ECS] をクリックします。トラフィックリダイレクションポートを表示する ECS インスタンスを見つけ、インスタンス名の左側にある
アイコンをクリックして、WAF に追加されているポートを表示します。
ポートの詳細を表示する: [アクション] 列の ポート詳細 をクリックして、ポート、プロトコル、および証明書に関する情報を表示します。次に、[WAF の前に Anti-DDoS Pro、Anti-DDoS Premium、または Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか]、[トラフィックマークを有効にする] (詳細設定)、および [原点復帰キープアライブリクエスト] (詳細設定) パラメータを構成します。
ポートを削除する: [アクション] 列の 接続解除 をクリックします。接続解除 メッセージで、OK をクリックします。
重要WAF からトラフィックリダイレクションポートを削除すると、Web サービスが数秒間中断される場合があります。クライアントが自動的に再接続できる場合、Web サービスは自動的に再開されます。ビジネス要件に基づいて、再接続メカニズムと原点復帰設定を構成します。
WAF からトラフィックリダイレクションポートを削除すると、ポート上のトラフィックは WAF によって保護されなくなります。ポートを WAF に再度追加するには、[追加] をクリックします。詳細については、「トラフィックリダイレクションポートを追加する」をご参照ください。
トラフィックリダイレクションポートに関連付けられた証明書を更新する
トラフィックリダイレクションポートに関連付けられた証明書の有効期限が切れそうになっている場合、または証明書が変更された場合 (証明書が失効した場合など) は、証明書を更新する必要があります。
証明書の残りの有効期間が 30 日未満の場合、ドメイン名リストに
アイコンが表示されます。これは、証明書の有効期限が切れそうになっていることを示しています。この場合、できるだけ早く証明書を更新する必要があります。
証明書の有効期限が切れそうになったときに、メールやショートメッセージなどの方法で通知を受信する場合は、証明書の通知を構成します。
証明書の有効期限切れによるサービス中断を防ぐには、証明書管理サービスの 証明書ホスティング機能 を有効にします。証明書に対してこの機能を有効にすると、ホストされている証明書の有効期限が切れそうになったときに、システムは自動的に新しい証明書を申請します。
次の手順を実行します。
証明書を更新するか、サードパーティ証明書を証明書管理サービスにアップロードします。詳細については、「公式 SSL 証明書を更新する」または「SSL 証明書をアップロードして共有する」をご参照ください。
WAF コンソールで証明書を更新します。
クラウドプロダクトアクセス タブで、左側のクラウドサービスリストの [ECS] をクリックします。管理するインスタンスを見つけ、
アイコンをクリックします。証明書を更新するトラフィックリダイレクションポートを見つけ、証明書の編集 列の 操作 をクリックします。
デフォルト証明書 ダイアログボックスで、既存ファイルを選択 を選択し、ドロップダウンリストから新しい証明書を選択します。
単一の ECS インスタンスに解決される複数のドメインの保護ルールを構成する
複数のドメイン名が同じ ECS インスタンスに解決され、追加後にこれらのドメインの保護ルールを個別に構成する場合は、ドメインを保護対象オブジェクトとして手動で追加します。
よくある質問
Web サイトの構成ページで WAF に追加する CLB インスタンスまたは ECS インスタンスが見つからないのはなぜですか。