CRS バージョンが更新されると、すべての新しい CRS ルールが [検出] モードになります。これにより、本番環境でリスクを伴わずに CRS ルールセットを更新できます。ただし、これらの新しいルールは、手動で [適用] モード(または [ポリシー モードの使用])に移行する必要があります。

注:

  • この機能は、Cloud Services の NSX Advanced Load Balancer エンタープライズ ライセンスがある場合にのみ実行できます。

  • ENTERPRISE_WITH_CLOUD_SERVICES 層で設定したコントローラの場合、WAF シグネチャ サービスは、このサービスが有効になっているコントローラに新しいルールを自動的にプッシュします。

  • この設定がないコントローラの場合、新しいルールが使用可能になったときにダウンロード リンクを含む通知を受信することを選択できます。ダウンロードしたら、ルールを NSX Advanced Load Balancer Controller に手動でアップロードできます。

更新されたルールはすべて同じモードのままで、既存の例外もルールに適用されます。

CRS ルールを更新するには、次の手順を実行します。

  1. [テンプレート] > [WAF] > [WAF ポリシー] の順に移動します。

  2. WAF ポリシーの [編集] アイコンをクリックします。

  3. [シグネチャ] タブで、下にスクロールして [CRS ルール] セクションに移動します。



    注:

    [オーバーライドのリセット] ボタンを使用すると、すべてのルール モードの変更が継承されたモードにリセットされます。これは、CRS の更新後に、新しいルールがテストされ、WAF ポリシー モードの一部になる準備ができている場合に非常に便利です。

  4. ドロップダウン メニューから必要な [CRS バージョン] を選択します。



  5. [変更ログ] が次のように表示されます。[OK] をクリックして、CRS バージョンを確認して更新します。



    WAF 処理の最後の手順は、シグネチャの確認です。[シグネチャ] タブで、CRS を構成できます。カスタム ルールを CRS の前(CRS の前に適用するルール)または CRS の後(CRS の後に適用するルール)に実行するように構成できます。

注:

アノマリ検出などの機能を使用する場合は、CRS グループ CRS_901_Initialization を有効にする必要があります。有効にしないと、必要なアノマリしきい値がデフォルトに構成されません。通常は、このグループを有効にしておくことを推奨します。

CRS ルールの自動更新

NSX Advanced Load Balancer 22.1.3 以降では、CRS ルールの自動更新がサポートされます。CRS 自動更新用に、NSX Advanced Load Balancer には次の 2 つのチェックボックスが導入されています。

  • [CRS 自動更新の有効化]:CLI の対応するフラグは auto_update_crs です。

  • [検出モードですべての新しいルールを有効化]:CLI の対応するフラグは updated_crs_rules_in_detection_mode です。

CRS 自動更新の有効化

[CRS 自動更新の有効化] オプションが選択されている場合、システムはこのポリシーで使用されている CRS バージョンを最新の状態に維持します。コントローラで新しい CRS オブジェクトが使用可能な場合、システムはこの WAF ポリシーの CRS アップグレード プロセスを開始します。現在の CRS バージョンが CRS-VERSION-NOT-APPLICABLE に設定されている場合、ポリシーは更新されません。[CRS 自動更新の有効化] チェックボックスは、次に示すように [テンプレート] > [WAF] > [WAF ポリシー シグネチャ] で使用できます。



NSX Advanced Load Balancer Controller にログインし、show wafpolicy <policy name> コマンドを使用して、auto_update_crs フラグのステータスを確認できます。

[admin:controller]: > show wafpolicy Test-1 | grep crs
| waf_crs_ref                             | CRS-2022-2                                     |
| auto_update_crs                         | False                                          |
| updated_crs_rules_in_detection_mode     | True                                           |
[admin:controller]: >

検出モードですべての新しいルールを有効化

CRS の更新中、新しいルールはデフォルトで検出モードで追加されます。NSX Advanced Load Balancer 22.1.3 以降では、ポリシーが適用モードの場合にのみ、CRS の更新で新しいルールが異なる方法で処理されます。

この場合、更新によって新しいルールの CRS オーバーライドが追加され、新しいルールが検出モードに設定されます。updated_crs_rules_in_ detection_mode フラグが設定されていない場合、またはポリシー モードが検出の場合、ルールは新しい CRS オーバーライドなしで追加されます。フラグは、auto_ update crs (CLI) およびユーザー インターフェイス ベースの CRS 更新ワークフローに使用されます。

[検出モードですべての新しいルールを有効化] チェックボックスは、CRS 自動更新の有効化 セクションのスクリーンショットに示すように [テンプレート] > [WAF] > [WAF ポリシー シグネチャ] で使用できます。

NSX Advanced Load Balancer Controller にログインし、show wafpolicy <policy name> コマンドを使用して、updated_crs_rules_in_detection_mode フラグのステータスを確認できます。

[admin:controller]: > show wafpolicy Test-1 | grep crs
| waf_crs_ref                             | CRS-2022-2                                     |
| auto_update_crs                         | False                                          |
| updated_crs_rules_in_detection_mode     | True                                           |
[admin:controller]: >