概要

• オートスケール
• DevOpsと相性がいい
• WAFだけでは防御は完璧ではない

WAFの一般的なユースケース

• SQL Injection(SQLi)、Cross Site Scripting(XSS)対策
• Webクローラー、スクレイピングなどのBOT対策
• DDoS緩和

Count effects

• 正常なリクエストがブロックされていないか確認する
  • サンプルをモニタリングしながら、ルールごとにリクエストがマッチしたか確認が可能
  • COUNTで確認し、誤検知がないことを確認してからBLOCKに変更

AWS WAFの制限

• AWSアカウントあたりのウェブACL：50
• AWSアカウントあたりのルール：100

疑問点

• どの辺がDevOpsと相性がいいのか