WAF ルールを含むトラフィックフィルタールールの設定方法

最終更新日: 2024-01-29
  • トピック:
  • Security
    このトピックの詳細を表示
  • 作成対象:
  • Intermediate
    Admin
    Developer

WAF ルールを含むトラフィックフィルタールールの​設定方法​について説明します。結果の作成、デプロイ、テスト、分析について参照してください。

セットアップ

設定プロセスには、次の項目が含まれます。

  • ルールの作成:適切な AEM プロジェクト構造と設定ファイルを使用します。
  • ルールのデプロイ:Adobe Cloud Manager の設定パイプラインを使用します。
  • ルールのテスト:様々なツールを使用してトラフィックを生成します。
  • 結果の分析:AEMCS CDN ログとダッシュボード ツールを使用します。

AEM プロジェクトでのルールの作成

ルールを作成するには、次の手順に従います。

  1. AEM プロジェクトの最上位に config フォルダーを作成します。

  2. config フォルダー内に、cdn.yaml という新しいファイルを作成します。

  3. 次のメタデータを cdn.yaml ファイルに追加します。

kind: CDN
version: '1'
metadata:
  envTypes:
    - dev
    - stage
    - prod
data:
  trafficFilters:
    rules:

AEM Guides WKND Sites プロジェクト内の cdn.yaml ファイルの例を参照してください。

WKND AEM プロジェクトルールファイルとフォルダー

Cloud Manager を使用したルールのデプロイ

ルールをデプロイするには、次の手順に従います。

  1. my.cloudmanager.adobe.com で Cloud Manager にログインし、適切な組織とプログラムを選択します。

  2. プログラムの概要​ページから​パイプライン​カードに移動し、「+ 追加」ボタンをクリックして目的のパイプラインタイプを選択します。

    Cloud Manager パイプラインカード

    上の例では、開発環境を使用しているので、デモの目的で「実稼動以外のパイプラインを追加」が選択されています。

  3. 実稼動以外のパイプラインを追加​ダイアログで、次の詳細を選択して入力します。

    1. 設定手順:

      • タイプ:デプロイメントパイプライン
      • パイプライン名:Dev-Config

      Cloud Manager 設定パイプラインダイアログ

    2. ソースコード手順:

      • デプロイするコード:ターゲットデプロイメント
      • 次を含む:設定
      • デプロイメント環境:環境の名前(例:wknd-program-dev)。
      • リポジトリ:パイプラインがコードを取得する元の Git リポジトリ。例:wknd-site
      • Git ブランチ:Git リポジトリブランチの名前。
      • コードの場所/config(前の手順で作成した最上位の設定フォルダーに対応)

      Cloud Manager 設定パイプラインダイアログ

トラフィックの生成によるルールのテスト

ルールをテストするために、様々なサードパーティツールが使用可能で、組織には推奨ツールがある場合があります。デモの目的で、次のツールを使用します。

  • cURL:URL の呼び出しや応答コードの確認などの基本的なテストに使用します。

  • Vegeta:サービス拒否(DOS)を実行するために使用します。Vegeta GitHub のインストール手順に従います。

  • Nikto:XSS、SQL インジェクションなどの潜在的な問題やセキュリティの脆弱性を見つけます。Nikto GitHub のインストール手順に従います。

  • 次のコマンドを実行して、ツールがインストールされ、ターミナルで使用できることを確認します。

    # Curl version check
    $ curl --version
    
    # Vegeta version check
    $ vegeta -version
    
    # Nikto version check
    $ cd <PATH-OF-CLONED-REPO>/program
    ./nikto.pl -Version
    

ダッシュボードツールを使用した結果の分析

ルールを作成、デプロイ、テストした後、Elasticsearch、Logstash、Kibana(ELK)​ダッシュボードツールを使用して結果を分析できます。AEMCS CDN ログを解析して、結果を様々なグラフの形式で視覚化できます。

ダッシュボードツールは AEMCS-CDN-Log-Analysis-ELK-Tool GitHub リポジトリから直接クローンを作成し、手順に従って​トラフィックフィルタールール(WAF を含む)​ダッシュボードをインストールして読み込みます。

  • サンプルダッシュボードを読み込むと、Elastic ダッシュボードのツールページは次のようになります。

    ELK トラフィックフィルタールールダッシュボード

メモ

AEMCS CDN ログはまだ取り込まれていないので、ダッシュボードは空です。

次の手順

例と結果分析の章で、AEM WKND Sites プロジェクトを使用して、WAF ルールを含むトラフィックフィルタールールを宣言する方法について説明します。

このページ