現在、WAFの背後に置いておきたいVPC内にElastic Beanstalk Webアプリケーションがあります。これを行うために、CloudFrontにWAFを追加しました。セキュリティのために、セキュリティグループ(これらのIPアドレスが変更されたときに自動更新)を使用して行ったAWS CloudFront IPアドレスからのみElastic Beanstalkアプリケーションへのアクセスを有効にしました。直接Elastic BeanstalkのインスタンスにアクセスしてAWS WAFを回避する方法
しかし、自分のEBアプリケーションのWebアドレスを自分のCloudFrontインスタンスに追加するのを止めるのは、VPCセキュリティグループのIPアドレスの制限を迂回し、WAFを経由せずにアクセスできるようにすることですか?
カスタムヘッダーを手動で挿入して、Webサーバーに直接送信する偽装要求があった場合は、誰も挿入できません。 –
この解決策は、ヘッダーがわからないことを前提としています(外部の攻撃者の場合)。ヘッダーを知るためには、攻撃者はCloudFrontの配布構成やEB構成にアクセスできる必要があります。 –
SSLが必要であると言わずに移動します。 –