ALBのWAF fail open属性

本日2021-04-02に発生したWAFの障害に関連してWAF fail open属性という聞き馴染み無い言葉が出てきたのでメモ

WAF fail open属性とは

Application Load Balancer - Elastic Load Balancing

デフォルトでは、ロードバランサーが AWS WAF から応答を取得できない場合、HTTP 500 エラーが返され、リクエストは転送されません。
AWS WAF に接続できない場合でも、ロードバランサーがターゲットにリクエストを転送する必要がある場合は、WAF フェールオープン属性を有効にできます。

ALB で WAF のフェイルオープン設定が可能になりました | DevelopersIO

2020-11にリリースされた新機能らしい。

これは適用の検討が必要。

サービスによるが、疑わしきはblockか、引きずられないようfail openするか悩ましいところ。

AWS WAFの可用性

判断の材料として調べた

AWS WAF Service Level Agreement

Service Commitment
AWS will use commercially reasonable efforts to make AWS WAF available with a Monthly Uptime Percentage for each AWS region, during any monthly billing cycle, of at least 99.95% (the “Service Commitment”). In the event AWS WAF does not meet the Service Commitment, you will be eligible to receive a Service Credit as described below.

99.95%を保証する。

月間21.6分なので今回SLA違反になったサービスもあるかも知れない。

が、そうそう起きるとも思わない。

判断するには、発生時の売上などへのインパクトとセキュリティインシデント発生のインパクトを天秤にかけて検討する必要がある。