https://tech.ldas.jp/ja/tags/waf/Recent content in Waf on デジタルアーカイブシステムの技術ブログHugojaThu, 16 Apr 2026 22:30:00 +0900https://tech.ldas.jp/ja/posts/cloudfront-waf-add-to-existing-origin/Thu, 16 Apr 2026 22:30:00 +0900https://tech.ldas.jp/ja/posts/cloudfront-waf-add-to-existing-origin/<p>運用中の Web サービス群を、Docker + Traefik で立てたオリジンに<strong>直接 DNS を向けている状態</strong>から、<strong>CloudFront + AWS WAF を間に挟む構成</strong>へ移行しました。本記事ではそのとき採用したパターンと、想定しなかった落とし穴を汎用化してまとめます。</p> <p>類似の構成を移行する方が、同じ落とし穴を回避できることを目的としています。</p> <h2 id="移行前の構成">移行前の構成</h2> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-text" data-lang="text"><span class="line"><span class="cl">ブラウザ ──► DNS ──► オリジン IP（reverse proxy: Traefik on VPS） </span></span><span class="line"><span class="cl"> ├── service-a (cultural.jp 相当) </span></span><span class="line"><span class="cl"> ├── service-b (api.cultural.jp 相当) </span></span><span class="line"><span class="cl"> └── service-c (webcatplus.jp 相当) </span></span></code></pre></div><ul> <li>各サービスは Docker コンテナ</li> <li>Traefik が Host ヘッダで振り分け、Let&rsquo;s Encrypt（HTTP-01）で TLS 終端</li> <li>攻撃検知に CrowdSec バウンサープラグイン</li> </ul> <h2 id="移行後の構成">移行後の構成</h2> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-text" data-lang="text"><span class="line"><span class="cl">ブラウザ ──► DNS ──► CloudFront ──► オリジン用ドメイン ──► Traefik </span></span><span class="line"><span class="cl"> │ (origin.example.com) </span></span><span class="line"><span class="cl"> └── WAF（OWASP / 既知悪性入力 / IP評判 / レート制限） </span></span></code></pre></div><p>ポイントは 3 つ:</p>