データ漏えい防止ルールは、サーバー応答を検査し、機密データがクライアントに到達する前に処理します。WAF は、応答で検出された情報をマスクしたり、特定の HTTP エラー状態コードが返されたときにデフォルトのエラー応答ページを返したりできます。
この機能は、中国本土で使用されるデータ形式 (ID カード番号、携帯電話番号、クレジットカード番号など) のみをサポートしています。他のリージョンのデータ形式はサポートされていません。
WAF が検出できるもの
WAF は、機密データを次の 2 つのカテゴリと照合します。
| カテゴリ | 検出可能な値 | 利用可能な操作 |
|---|---|---|
| 機密情報 | ID カード番号、クレジットカード番号、携帯電話番号、デフォルトの禁止用語 | モニタリング (ログのみ)、マスク (機密情報の一部をアスタリスクで置き換える) |
| 状態コード | 400, 401, 402, 403, 404, 500, 501, 502, 503, 504, 405–499, 505–599 | モニタリング (ログのみ)、ブロック (リクエストをブロックし、ブロックページを返す) |
ブロックは、状態コードルールでのみ利用可能です。機密情報ルールは、マスクまたはモニタリングのみをサポートしています。マスキングは、リクエストをブロックせずに機密情報の一部をアスタリスク (*) で置き換えます。応答は引き続きクライアントに返されます。
制限事項
クラウドネイティブモード (ALB、MSE、FC) の保護対象は、この機能をサポートしていません。
前提条件
開始する前に、次のことを確認してください。
WAF 3.0 インスタンスがあること。詳細については、「従量課金 WAF 3.0 インスタンスのアクティブ化」をご参照ください。
Web サービスが保護対象として WAF 3.0 に追加されていること。詳細については、「保護対象と保護対象グループの設定」をご参照ください。
ステップ 1: データ漏えい防止テンプレートの作成
データ漏えい防止にはデフォルトの保護テンプレートがありません。この機能をアクティブにするには、テンプレートを作成し、保護対象にアタッチします。
WAF 3.0 コンソールにログインします。上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョン (中国本土または中国本土以外) を選択します。
左側のナビゲーションウィンドウで、[保護設定] > [コア Web 保護] を選択します。
[データ漏洩防止] セクションで、[テンプレートを作成] をクリックします。
[テンプレートの作成 - データ漏洩防止] パネルで、以下のパラメーターを設定し、[OK] をクリックします。
パラメーター 説明 テンプレート名 テンプレートの名前。1~255 文字で、英字、数字、ピリオド (.)、アンダースコア (_)、ハイフン (-) を含めることができます。 ルール設定 ルールの作成(オプション) をクリックして、今すぐルールを追加します。この手順をスキップして、テンプレート作成後にルールを追加することもできます。詳細については、「ステップ 2: データ漏えい防止ルールをテンプレートに追加」をご参照ください。 適用対象 テンプレートを適用する保護対象と保護対象グループを選択します。各保護対象またはグループは、保護モジュールごとに 1 つのテンプレートのみに関連付けることができます。
テンプレートはデフォルトで有効になっています。テンプレートリストでは、次のことができます。
関連付けられた保護対象およびグループは、[保護対象/グループ] 列で表示できます。
[ステータス] 列のスイッチを切り替えて、テンプレートを有効または無効にします。
テンプレートを管理するには、[操作] 列で [ルールの作成]、[編集]、[削除]、または [コピー] をクリックします。
テンプレート名の左側にある
アイコンをクリックして、保護ルールを展開して表示します。
ステップ 2: データ漏えい防止ルールをテンプレートに追加
テンプレートは、少なくとも 1 つの保護ルールがある場合にのみ有効になります。テンプレート作成時にルールを追加した場合は、この手順をスキップしてください。
WAF 3.0 コンソールにログインします。上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョン (中国本土または中国本土以外) を選択します。
左側のナビゲーションウィンドウで、保護設定 > コア Web保護 を選択します。
[データ漏洩防止] セクションで、テンプレートを見つけて展開し、[操作] 列にある [ルールの作成] をクリックします。
[ルール作成] ダイアログボックスで、以下のパラメーターを設定し、[OK] をクリックします。
パラメーター 説明 ルール名 ルールの名前です。英字、数字、ピリオド(.)、アンダースコア(_)、ハイフン(-)を含めることができます。 一致条件 検出する機密データの種類です。ステータスコード(400、401、402、403、404、500、501、502、503、504、405–499、505–599)または機密情報(身分証明書番号、クレジットカード番号、携帯電話番号、デフォルトの機密ワード)から 1 つ以上の値を選択します。特定のページを対象にする場合は、AND を選択し、URL を指定します。 操作 一致が検出された場合に実行する操作です。ステータスコード ルールの場合:モニター(ログのみ記録)または ブロック(リクエストをブロックし、ブロックページを返却)。機密情報 ルールの場合:モニター(ログのみ記録)または マスク(リクエストをブロックせずに、機密情報の一部をアスタリスク(*)で置き換え)。
ルールはデフォルトで有効になっています。ルールリストでは、ルール ID と操作を表示し、[ステータス] スイッチを切り替えてルールを有効または無効にし、[編集] または [削除] をクリックして管理できます。
次のステップ
保護イベントを、[データ漏洩防止] タブの [セキュリティレポート] ページで表示できます。詳細については、「セキュリティレポート」をご参照ください。
参考資料
緩和設定の概要 — WAF 3.0 の保護対象、保護モジュール、および保護プロセスについて説明します。
保護テンプレートの作成 — API を使用してテンプレートを作成します。
Web コア保護ルールの作成 — API を使用してルールを作成および設定します。