AWS WAFにWordPress用のルールを設定してみるの記事でAWS WAFのManagaed Rulesを紹介していました。
Trend Micro Managed Rules for AWS WAFを使用していましたが、2020年5月25日にサポートが終了してしまいました。
今回は代わりになるWAFのManagaed Rulesを探したいと思います。
Managaed Rules
AWS Marketplace で探しました。
WordPressを保護してくれるManagaed Rulesは4つ見つかりました。
(他にもあるかもしれませんが、今回は見つかった4つを紹介します)
| COG – WordPress | Trustwave Managed Rules for AWS WAF – CMS Virtual Patches | Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set- | Cyber Security Cloud Managed Rules for AWS WAF Classic -OWASP Set- |
|---|---|---|---|
| AWS Marketplaceのリンク | AWS Marketplaceのリンク | AWS Marketplaceのリンク | AWS Marketplaceのリンク |
| $0.058/hr(t3.micro) | $15/unit | $25/unit | $25/unit |
1つ目のCOG以外は月額料金です。
COGはインスタンスのタイプによって料金が違うので、今回はt3.microの料金を載せました。
COG -Wordpress
COGは月額料金を計算すると結構高くなるので、今回は候補から外しました。
Trustwave Managed Rules for AWS WAF – CMS Virtual Patches
CMSを保護してくれるWAFです。
Cyber Security Cloud Managed Rules for AWS WAF
Cyber Security Cloud Managed Rules for AWS WAF –HighSecurity OWASP Set- と
Cyber Security Cloud Managed Rules for AWS WAF –Classic OWASP Set- の2つがあり、どちらが良いのか悩みました。
料金が変わらないのであれば、HighSecurityのほうが良さそうだなぁと漠然と考えていました。
Cyber Securityのホームページをみると、HighSecurityのほうのリンクに飛ぶので、HigeSecurityの方を候補に入れます。
こちらはwebアプリケーションの脆弱性をOWASP Top 10に準拠したセキュリティ対策をしてくれるものです。
OWASPとは
OWASP(Open Web Application Security Project:オワスプ)とは、Webセキュリティのプロフェッショナルたちがボランティアとして所属・活動しているセキュリティ団体です。世界中のセキュリティに関する調査を行ったり、調査結果を公開し、啓発活動を実施している団体です。2001年に設立され、現在では世界中で活動しています。 OWASP TOP 10 とは? 初心者にもわかりやすく解説
リンク先にTOP10がなにを表すかが書かれています。
セキュリティ団体の発見した脆弱性などに基づいて、対処してくれるもののようです。
なににしたか
4つの中からWordPressを保護するには Trustwave Managed Rules for AWS WAF – CMS Virtual Patches が良いと判断しました。
Trustwave Managed Rules for AWS WAF – CMS Virtual Patches の設定方法などは別記事にします => AWSのWordPressにWAFのマネージドルールを適用する
