WAF管理ルールへの移行
CIS ウェブ・アプリケーション・ファイアウォール(WAF)の機能は、ルールセット・エンジン(Ruleset Engine)スイートの下に移動している。 この変更には手動での移行が必要ですが、 CIS UI移行ウィザードの使用をお勧めします。 そのためには、アップデートを終了する前に、コンフィギュレーションを見直し、 セキュリティイベントを 確認する必要がある。
マイグレーションが完了すると、WAF に関連する API、CLI、または Terraform を使用する自動化は機能しなくなり、新しい管理対象ルール・セットを使用するように更新する必要があります。
2024年6月以降に作成されたインスタンスは、新しいRuleset Engine言語を使用しており、移行する必要はありません。
インスタンスを管理対象ルールにマイグレーションするには、以下の手順を実行します。
- セキュリティ・ セクションに移動する。
- WAF タブを選択する。 CISインスタンスがアップグレードされていない場合、新しいWAFに更新するメッセージが表示されます。
- 「構成の確認」 をクリックします。
- レビュー設定パネルでは、ルールセットは適用された順番に表示されます。
- ステータス列のスイッチを使用して、ルールセットを有効または無効にします。
- 各ルールセットの横にある 「アクション」メニュー から、ルールセットの編集、並び替え、または完全な削除を選択できます。 これらのアクションは、デフォルトからのオーバーライドと見なされます。
- 「管理されたルールセット 」セクションでは、まだ追加されていないルールセットを追加または設定することができます。
- 追加したいルールセットの「追加」 をクリックし、新しいルールのスイッチを 「無効」 から 「有効」に切り替えます。
- 移行する前に設定するルールセットの 「設定」 をクリックします。 「デプロイメントの構成」 サイド・パネルでは、すべての着信要求を受け入れることも、式ビルダーで行ったカスタマイズ・フィルターを使用して実行範囲を更新することもできます。 続いて、**「保存」**をクリックします。
- サイドパネルのデプロイをクリックして続行します。
- (Enterprise のみ) Security > Events タブでセキュリティイベントを確認し、イベントが正しいと感じたら Ready to update を選択します。
- 移行を完了するには 、[以前のバージョンをオフにする ] を選択します(この手順は元に戻すことができません)。または、編集を続行するには、[キャンセル] を選択します。 この移行では、ダウン時間は発生しません。
ルールセットの編集
アクションメニューから、以下のアクションを選択できます:
- 編集: ルールセット内のルールのバッチ編集を行うだけでなく、ルールセットのアクションやステータスを変更できるパネルを開きます。 編集は、デフォルト・ルールのオーバーライドと見なされます。
- 削除: リストからルールセットを削除します。
- 上へ移動 :ルールセットが実行される順序を変更し、優先度を1つ高くします。
- 移動する ルールセットが実行される優先順位を変更します。
例外の追加
独自の例外を追加するには、以下の手順を実行します。
- 「例外の追加」 をクリックします。
- 「例外の追加」 サイド・パネルで、例外の名前を入力します。
- 「着信要求が一致する場合 ... (When incoming requests match ...)」 セクションでオプションを選択するか、式ビルダーを使用して例外を微調整します。
- 一致する要求をログに記録する場合は、スイッチを 「オン」 の位置に移動します。
- 例外として、残りのすべてのルールをスキップするか、管理されたルールセットから特定のルールをスキップするかを選択します。
- 保存 をクリックします。
管理対象ルールの FAQ
- マイグレーションしない場合はどうなりますか?
-
手動で移行しないユーザーは、2025年6月12日に自動的にマネージドルールに移行され、現在のWAFポリシーやセキュリティに影響が出ることはない。 この日以降、WAFおよびマネージドルールの設定を行うには、ルールセットエンジンAPI を使用する必要があります。
新しいマネージド・ルールには、より強固なOWASPセキュリティ・カバレッジが追加されたため、ルールとコンフィギュレーションは以前とは若干異なるかもしれない。 このルールセットは、OWASP v2.x から OWASP v3.x; に更新され、パラノイア・レベルが追加され、誤検知率が改善されています。
- 移行によるWAFのダウンタイムはありますか?
-
移行中にWAFの保護が停止することはありませんが、移行完了後最大1時間は、レガシーWAFと新しいWAFの管理ルールの両方からセキュリティイベントが発生する可能性があります。
- 以前の WAF API はどうなりますか?
-
非推奨化後は、以前のWAF APIは利用できなくなり、エラーが発生し、マネージドルール機能への切り替えを促すメッセージが返されます。
- マイグレーションが完了したことを確認するにはどうすればよいですか?
-
マイグレーション状況 API チェックを実行します。 WAF ページで UI にウィザードが表示されるかどうかを確認することもできます。 ウィザードが表示されたら、移行する必要があります。
- 以前の WAF に戻すことはできますか?
-
いいえ 管理されたルールセットへの移行は最終的なものであり、元に戻すことはできません。
- マイグレーション・ウィザードが表示されなくなるのはなぜですか?
-
このウィザードは、前の WAF が使用可能になっている場合にのみ表示されます。 ウィザードが表示されない場合は、既にマイグレーションされている可能性があります。
- IBM UI またはマイグレーション・ウィザードを使用せずにマイグレーションするにはどうすればよいですか?
-
API は使用可能ですが、ウィザードが推奨される方法です。
移行時に予想される変更
新バージョンのWAF管理ルールに移行する場合、更新プロセスでは、旧バージョンで使用されていたOWASP ModSecurity Core Rulesetの設定が部分的に引き継がれます。
以下のOWASP設定が移行される:
-
感度 : 以前のルールセットの 感度レベルは、新しい OWASP ルールセットの パラノイアレベル(PL )と スコア閾値の 組み合わせに移行されます:
OWASP ルールセットの感度値 古い感受性 新しいPL 新しいスコアのしきい値 高 PL2 ミディアム - 40以上 中 PL1 高 - 25以上 低 PL1 ミディアム - 40以上 デフォルト PL2 ミディアム - 40以上 -
アクション :以前の OWASP ルールセットのほとんどのアクションは、新しいルールセットに直接マッピングされます。 しかし、 Simulate アクションは Logにマッピングされるようになった。
以下のOWASPの設定は、2つのバージョンのルールの間に直接的な等価性がないため、移行されない:
- OWASPグループのオーバーライド
- OWASPルールのオーバーライド
これらの設定を置き換えるには、WAF の管理ルールに新しい OWASP コアルールセットを再設定する必要があります。 これには、タグやルールのオーバーライドなどのカスタマイズも含まれます。 詳細については、 CIS OWASPコアルール セットを参照のこと。
マイグレーションに関する既知の問題
以下のエラーについて支援が必要な場合は、 IBM Cloud サポートにお問い合わせください。
- マイグレーションするファイアウォール・ルールの数が 200 を超えている場合。
- ファイアウォール・ルール式の長さが 4 KB より長い場合。