AWS Shield Advanced の機能とオプション
AWS Shield Advanced サブスクリプションには、次の機能とオプションが含まれています。これらは、AWS で既に利用している DDoS 検出および緩和機能を補完します。
AWS WAF 統合 – Shield Advanced は、アプリケーションレイヤーの保護の一部として、AWS WAF ウェブ ACL、ルール、およびルールグループを使用します。AWS WAF の詳細については、「AWS WAF の働き」を参照してください。
注記
Shield Advanced のサブスクリプションは、Shield Advanced で保護するリソースの標準 AWS WAF 機能を使用する際の費用を負担します。Shield Advanced の保護でカバーされる標準の AWS WAF 料金は、ウェブ ACL あたりのコスト、ルールあたりのコスト、およびウェブリクエスト検査の 100 万件のリクエストあたりの基本料金です (最大で 1,500 WCU およびデフォルト本体サイズ)。
Shield Advanced 自動アプリケーションレイヤー DDoS 緩和を有効にすると、150 個のウェブ ACL キャパシティユニット (WCU) はルールグループに追加されます。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。詳細については、Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 、Shield Advanced ルールグループによるアプリケーションレイヤーの保護、およびAWS WAF のウェブ ACL キャパシティユニット (WCU) についてを参照してください。
Shield Advanced を使用して保護していないリソースの AWS WAF の使用は、Shield Advanced へのサブスクリプションではカバーされません。また、保護対象リソースの標準外の追加 AWS WAF 費用もカバーされません。標準外の AWS WAF 費用の例としては、Bot Control、CAPTCHA ルールアクション、1,500 個以上の WCU を使用するウェブ ACL、デフォルトの本文サイズを超えるリクエスト本文の検査などがあります。詳細なリストは AWS WAF の料金ページでご覧いただけます。
詳細情報および料金の例については、「Shield の料金
」および「AWS WAF の料金 」を参照してください。 -
アプリケーションレイヤーの DDoS の自動緩和 - Shield Advanced は、保護されたリソースに対するアプリケーションレイヤー (レイヤー 7) 攻撃を自動的に緩和して対応するように設定できます。Shield Advanced は、自動軽減機能により、既知の DDoS ソースからのリクエストに AWS WAF レート制限を適用し、検出された DDoS 攻撃に対応してカスタム AWS WAF プロテクションを自動的に追加および管理します。攻撃の一部であるウェブリクエストをカウントまたはブロックするように自動緩和を設定できます。
詳細については、「Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 」を参照してください。
-
ヘルスベースの検出 – Shield Advanced で Amazon Route 53 ヘルスチェックを使用して、イベントの検出と緩和の通知を受けることができます。ヘルスチェックは、仕様に従ってアプリケーションをモニタリングし、仕様が満たされた場合は正常、そうでない場合は異常を報告します。Shield Advanced でヘルスチェックを使用すると、誤検出を防止するのに役立つともに、保護されたリソースが異常な場合により迅速に検出および緩和できます。Route 53 ホストゾーンを除くリソースタイプのために、ヘルスベースの検出を使用できます。Shield Advanced のプロアクティブエンゲージメントは、ヘルスベースの検出が有効になっているリソースでのみ使用できます。
詳細については、「Shield Advanced と Route 53 を使用したヘルスチェックを使用したヘルスベースの検出」を参照してください。
-
保護グループ – 保護グループを使用して、保護されたリソースの論理グループを作成し、グループ全体の検出と緩和を強化できます。新しく保護されたリソースを自動的に含めるように、保護グループのメンバーシップの条件を定義できます。保護されたリソースは、複数の保護グループに所属できます。
詳細については、「AWS Shield Advanced 保護のグループ化」を参照してください。
-
DDoS イベントと攻撃の可視性の向上 – Shield Advanced を使用すると、高度なリアルタイムのメトリクスとレポートにアクセスして、保護された AWS のリソースに対するイベントと攻撃の可視性を高めることができます。この情報には、Shield Advanced API とコンソール、および Amazon CloudWatch メトリクスを通じてアクセスできます。
詳細については、「Shield Advanced による DDoS イベントの可視性」を参照してください。
-
AWS Firewall Manager による Shield Advanced 保護の一元管理 – Firewall Manager を使用して、新しいアカウントとリソースに Shield Advanced 保護を自動的に適用し、ウェブ ACL に AWS WAF ルールをデプロイできます。Firewall Manager Shield Advanced 保護ポリシーは、Shield Advanced のお客様に追加料金なしでご利用いただけます。また、Amazon Simple Notification Service (SNS) トピックまたは AWS Security Hub で Firewall Manager を使用して、アカウントの Shield Advanced モニタリングアクティビティを一元化することもできます。
Firewall Manager を使用して Shield Advanced 保護機能を管理する方法については、「AWS Firewall Manager」および「Firewall Manager での AWS Shield Advanced ポリシーの使用」を参照してください。Firewall Manager の料金については、「AWS Firewall Manager の料金
」を参照してください。 AWS Shield Response Team (SRT) – SRT は、AWS、Amazon.com、およびその子会社の保護に関して豊富な経験を有しています。AWS Shield Advanced のお客様は、アプリケーションの可用性に影響を与える DDoS 攻撃を受けている最中に、いつでも SRT に連絡してサポートを求めることができます。SRT と連携して、リソースのカスタム緩和策を作成および管理することもできます。SRT のサービスを使用するには、ビジネスサポートプラン
またはエンタープライズサポートプラン をサブスクライブする必要もあります。 詳細については、「Shield Response Team (SRT) サポートによるマネージド DDoS イベントレスポンス」を参照してください。
-
プロアクティブな関与 – Shield Advanced が検出したイベントの発生中に、保護されたリソースに関連付けられた Amazon Route 53 ヘルスチェックが異常になった場合、プロアクティブな関与によって、Shield Response Team (SRT) はお客様に直接ご連絡します。これにより、アプリケーションの可用性に影響を及ぼす可能性のある攻撃が疑われる場合に、エキスパートとより迅速に連携することができます。
詳細については、「SRT が直接連絡するためのプロアクティブエンゲージメントの設定」を参照してください。
-
コスト保護の機会 – Shield Advanced は、保護されたリソースに対する DDoS 攻撃から生じる可能性のある AWS 請求額の急増に対するコスト保護を提供します。これには、Shield Advanced データ転送アウト (DTO) 使用料の急増に対する補償が含まれる場合があります。Shield Advanced は、Shield Advanced サービスクレジットという形であらゆるコスト保護を提供します。
詳細については、「攻撃後の AWS Shield Advanced 内のクレジットに対するリクエスト」を参照してください。
