セキュアなアーキテクチャの設計応用問題
あなたのチームはAWS WAFをCloudFrontディストリビューションに設定し、特定の国からのアクセスをブロックするGeo matchルールを適用しています。その後、CloudFrontのオリジンとして設定しているALB(Application Load Balancer)のDNS名が攻撃者に判明し、CloudFrontを経由せずにALBに直接アクセスされた場合、どうなりますか?
A.ALBにもWAFが自動的に引き継がれるため、ブロックルールは引き続き有効となりアクセスはブロックされる
✗ WAFのルールはCloudFront側にのみ設定されており、ALBへの直接アクセスには適用されません。
B.CloudFrontを経由しないためWAFのGeo matchルールは適用されず、ブロック対象国からのアクセスが成功してしまう← 正解
✓ 正解です。CloudFrontを経由しない場合、WAFのルールは無効化されます。対策としてALBのセキュリティグループをCloudFrontのIPのみに制限する必要があります。
C.CloudFrontはオリジンへの直接アクセスを検知して自動的にブロックするため、攻撃は失敗する
✗ CloudFrontにはオリジンへの直接アクセスを検知してブロックする機能はありません。
D.ALBのセキュリティグループにはデフォルトで全トラフィックが拒否されているため、直接アクセスは失敗する
✗ ALBのセキュリティグループはデフォルトで全トラフィックを拒否しているわけではなく、適切に設定しない限り直接アクセスは可能です。