AWS WAF ClassicからAWS WAF v2への移行手順|WafCharm|WAF自動運用サービス (original) (raw)

【目次】

  1. 1. はじめに
  2. 2. AWS WAF ClassicとAWS WAF v2のWafCharmでの違い
  3. 3. 新プランのご利用について
  4. 4. 移行についての注意点
  5. 5. 移行手順
  6. 6. おわりに

1. はじめに

2024年9月26日にAWSよりAWS WAF Classicが廃止されると発表されました。
(利用ユーザ向けに以下のタイトルでアナウンスメールが送信されております)
[アクションが必要です] 2025 年 9 月までに Classic WAF から WAFv2 に移行してください | [Action required] Migrate from Classic-WAF to WAFv2 by September 2025 [AWS Account: {AWS_ACCOUNT_ID}] [{REGION}]

AWS WAF ClassicとAWS WAF v2の仕様が異なるなどの理由により、WafCharmで提供しているルールや機能も一部異なっています。その影響により、AWS WAFより提供されている自動移行ツールを使用してWafCharmの移行を行うといった対応ができません。

本ブログでは、現在WafCharmをAWS WAF Classicでご利用の方向けに、AWS WAF v2との違いや移行方法を説明します。

2. AWS WAF ClassicとAWS WAF v2のWafCharmでの違い

上記の通り、AWS WAF ClassicとAWS WAF v2は仕様が異なることから、WafCharmのご利用においても一部違いがありますので、以下にてご紹介します。

登録可能なルール数の違い

AWS WAF Classicではルール数の個数による制限がありましたが、AWS WAF v2 では、 WCU (WAF Capacity Unit) というコストベースでの制限に変わりました。この変更をうけて、利用可能なルール数が大幅に増加しました。

そのため、AWS WAF v2では、これまでのAWS WAF Classic以上に充実したシグネチャの提供が可能となっています。

なお、ルール数の制限があったためAWS WAF Classicでは状況によってWeb ACLに適用するルールの入れ替わりを自動で行っておりましたが、AWS WAF v2ではWCUによる制限に変わり一般的なWeb攻撃に対応するルールをデフォルトで適用することが可能になったため、ルールの入れ替えは行われません。

ルール構造の違い

AWS WAF Classic では、Web ACL に設定されるルールは単一のルールでの登録となっておりました。

AWS WAF v2では、WafCharmにて登録するルールは基本的にルールグループを使用してその配下にルールが紐づく形式になっています。
※一部例外もあります。

また、AWS WAF Classicでは上記の通りルールの入れ替えがあり優先順位も更新される場合がありましたが、AWS WAF v2では優先順位は基本的には特定の順序になるような仕組みとなっています。

こちらの順番は、お客様がAWSマネジメントコンソールにて変更したとしても、定期的なタイミングで再度上記の状態となります。
※ お客様作成ルール内での優先度は維持されます。

順序などの詳細については、WafCharmルールについて (AWS WAF v2)をご確認ください。

カスタマイズにてサポート可能なルールの違い

AWS WAF Classicでは、国別の制限ルールとレートベースルールはカスタマイズでの対応はできませんでした。

AWS WAF v2では、ご利用のRuleポリシーによっても異なりますが、WafCharmコンソールからの登録や、カスタマイズでの対応が可能です。

マネージドルールとの併用について

AWS WAF v2では適用できるルール数が増加したため、デフォルトで一般的なWeb攻撃に対応するルールが常に提供されます。

WafCharmと弊社が提供するマネージドルールの併用自体は可能ですが、基本的には同等となり目的が重複するルールも含まれるため、弊社が提供するマネージドルール(Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set- あるいは -API Gateway/Serverless-)との併用は必要ございません。

AWS WAF v2 で使用できない機能

AWS WAF Classicでは、弊社が提供するマネージドルール(Cyber Security Cloud Managed Rules for AWS WAF Classic -OWASP Set-)とWafCharmを併用した場合に、マネージドルールの管理にご利用いただけるルールグループの例外設定機能をご提供しておりましたが、上記の通り併用は基本的には不要なため、AWS WAF v2では当該機能の提供は行っておりません。

3. 新プランのご利用について

2023年6月1日にWafCharmはアップデートし、新プランのご提供を開始しました。

新プランでは、静的Denylist、Allowlistの即時反映やシグネチャ再マッチングによるDenylistの5分毎更新など複数のアップデートが含まれています。
2023年6月1日に行ったWafCharmのアップデートについては、以下のブログ記事をご参考ください。
2023年6月1日にWafCharmをアップデートしました

また、2024年8月8日にはWafCharmをご利用いただくための管理画面のリニューアルを行いました。Advanced Ruleポリシーなど、新プランでのご利用の場合のみご利用いただける機能もございます。
リニューアルに関する詳細は、以下のブログ記事をご確認ください。
WafCharmコンソールをリリースしました

AWS WAF Classicをご利用されている場合、現在ご利用のWafCharmアカウントを新プランへ切り替えていただくことはできません。
しかしながら、今回のAWS WAF Classicの廃止に伴い、AWS WAF v2へ移行いただくことで、新プランのご利用も可能となります。

新プランでのご利用をご希望の場合には、以下のいずれかの対応をご検討ください。

AWS WAF ClassicからAWS WAF v2への移行を先に完了してから、新プランを利用する
こちらの対応の場合、以下の移行手順に記載の流れで、先にAWS WAF v2への移行と、WafCharmコンソールにてAWS WAF Classic用のWAF Configを削除いただく必要があります。
AWS WAF Classic用のWAF Configを削除した後は、現在ご利用されているWafCharmアカウントのご契約形態を、新プランへと切り替えます。
この対応をご希望の場合には、設定手順をすべて完了してから以下の営業窓口までご連絡ください。
wafcharm-sales@cscloud.co.jp

AWS WAF Classicの設定を維持したまま、新プランを利用する
AWS WAF v2への移行に伴い、新プランに付随する機能のご利用をご希望の場合には、新しくWafCharmアカウントをお申し込みいただき、新しいWafCharmアカウントにてAWS WAF v2の設定をご実施いただきます。
この場合、もともと旧プランでご利用されていたWafCharmアカウントを維持することができますので、結果的にAWS WAF Classicを維持したまま新プランのアカウントにてAWS WAF v2の利用を開始いただけます。

イメージとしては、以下のようになります。
既存のWafCharmアカウント(旧プラン):AWS WAF Classic用のWAF Config
新しいWafCharmアカウント(新プラン):AWS WAF v2用のWAF Config

なお、一時的にWafCharmアカウントやWAF Configが複数存在する状態となります。WafCharmのご利用料金はアカウントごとに発生いたしますので、あらかじめご了承ください。

4. 移行についての注意点

注意点1

WafCharmをご利用の場合、AWSが提供する自動移行ツール(migration wizard)を使用しての移行はできません。
AWSが提供する自動移行ツールはご利用いただかないようお願いいたします。

万が一自動移行ツールを用いて移行してしまった場合には、以下の移行手順にてやり直してください。
もしやり直しが難しい場合には、WafCharmサポートまでお問い合わせください。

注意点2

AWS WAF ClassicからAWS WAF v2に移行する際は、AWS WAF v2用のWAF Configを新規でご登録いただきます。
AWS WAF Classic の WAF Config を維持したままAWS WAF v2の WAF Configを新規登録した場合、該当期間は二重課金の状態となり、WAF 設定ユニット料金(WAF Configごとの料金)が別途発生する場合があります。
※WAF 設定ユニット料金は日割りです。

注意点3

AWS WAF Classicにてカスタマイズを実施している場合、カスタマイズにて適用した内容は自動で移行できません。
弊社での対応となりますので、同様のカスタマイズをAWS WAF v2でも適用されたい場合には、適用したい内容を添えてサポートまでご連絡ください。

5. 移行手順

移行する際は、AWS WAF v2にて新しくWeb ACLを作成した上で、WafCharm管理画面にてWAF Configなどの各種リソースを新規登録します。
以下には基本的な流れを記載しますが、AWS WAF v2にて新規Web ACLを作成した後の各種手順の具体的なタイミングは、必要に応じてご調整いただくことも可能です。
例えば、先にAWS WAF Classic用のWeb ACL Configを削除した後にAWS WAF v2用のWeb ACL Configを新規登録する順序でも問題ありません。

ただし、その場合AWS WAF ClassicのWeb ACLからWafCharmルールが削除され、WafCharmからAWS WAF ClassicのWeb ACLにアクセスできなくなりますので、念のため移行が完了してから削除したいといった場合には以下の手順をご参考ください。

  1. AWS WAF v2でWeb ACLを新規作成する
  2. WafCharm管理画面にログインし、WAF Configを新規登録する
    WAF Configの新規登録方法は、以下のヘルプページをご参考ください。
    WafCharmのご利用方法 (AWS WAF v2)
    WAF Configの設定方法 (AWS WAF v2)
    カスタマイズを過去に実施し、同じ内容をAWS WAF v2にも適用された場合には、AWS WAF Classic用のWAF Configを削除する前にWafCharmサポートまでAWS WAF ClassicとAWS WAF v2両方のWAF Config名をご連絡ください。カスタマイズが複数あり、一部のみ移行を希望される場合はどのカスタマイズを移行したいかといった詳細もお知らせください。
  3. AWSマネージメントコンソール上で、AWS WAF v2のWeb ACLにリソースを紐付ける
  4. WafCharm管理画面にて、AWS WAF Classic用のWAF Configを削除する
    WAF Configを削除すると、同時にWeb Site Configも削除されます。
  5. AWSマネージメントコンソール上で、AWS WAF ClassicのWeb ACL等不要なリソースを削除する