CloudFrontで直接オリジンにアクセスさせない方法(オリジンガード)

問題提起

例えば、CloudFrontの前にAWS WAFを設置し、レイヤー7のDoS攻撃やDDoS攻撃などの対策を講じていても、
オリジンサーバーに直接攻撃が行われた場合、オリジンサーバーがダウンしてしまう可能性があり、
対策が不十分と言えます。

そこで、CloudFrontのカスタムヘッダー機能を活用し、オリジンサーバーへのアクセスをCloudFront
に限定することで、オリジンサーバーへの不正アクセスを防ぎ、セキュリティを強化することできます。
なので、今回はその一連の流れを解説していこうと思います。

CloudFront側でカスタムヘッダーを追加しよう

まずはお好きな桁数で、記号なしの英数字(大文字,小文字あり)の乱数を生成してください
https://www.luft.co.jp/cgi/randam.php のようなサイトを使うと良いと思います。
私は10桁にしました。

そして、CloudFrontの画面に戻ってください。
対象のディストリビューションの設定画面に行き、「オリジン」をクリック
そしたら対象のオリジンが出てくると思うので、選択して、編集をクリック

そして、カスタムヘッダーの項目の、「ヘッダーを追加」をクリック

そしたら、好きな名前(私は、X-Origin-Guardにしました)
をつけて、さっき乱数生成した値を入力してください。

以上CloudFrontでやる設定は完了です。
次はオリジン側で.htaccessの設定をします。

.htaccessに特定のヘッダを持ってるアクセスしか許可しないようにしよう

オリジン側の.htaccessファイルに以下のコードを追加してください。

RewriteEngine On
RewriteCond %{HTTP:さっき付けた名前(X-Origin-Guardなど)} !^さっきの乱数$
RewriteRule ^(.*)$ - [F,L]

サンプル

RewriteEngine On
RewriteCond %{HTTP:X-Origin-Guard} !^Y3tqzBTkf2$
RewriteRule ^(.*)$ - [F,L]

結果

cdn.pita-app.comに今までアクセスできてたのがこうなりました

ビフォー

アフター

CloudFrontを経由してアクセスすると

正常にアクセスできてることが確認できます
また、CloudFrontのキャッシュを削除しても大丈夫でした。

まとめ

近年、サイバー攻撃は巧妙化しており、オリジンサーバーが直接攻撃対象となる場合もあるかもしれません。

そこで、オリジンサーバーへの直接アクセスを遮断することで、セキュリティを強化することができます。
具体的には、CloudFrontのカスタムヘッダー機能などを活用し、
オリジンサーバーへのアクセスをCloudFront経由に限定することができます。

参考
https://manual.sakura.ad.jp/cloud/webaccel/manual/settings-originguard.html