Shield Advanced によるアプリケーションレイヤーのイベント検出と緩和に影響する要因のリスト

このセクションでは、Shield Advanced によるアプリケーションレイヤーイベントの検出と緩和に影響する要因について説明します。

ヘルスチェック

アプリケーションの全体的な状態を正確に報告するヘルスチェックは、アプリケーションが経験しているトラフィック条件に関する情報を Shield Advanced に提供します。Shield Advanced では、アプリケーションが異常を報告している場合に潜在的な攻撃を指している情報が少なくなり、アプリケーションが正常を報告している場合に攻撃の証拠がさらに必要になります。

アプリケーションの状態を正確にレポートするには、ヘルスチェックを設定することが重要です。詳細とガイダンスについては、「Shield Advanced と Route 53 を使用したヘルスチェックを使用したヘルスベースの検出」を参照してください。

トラフィックのベースライン

トラフィックのベースラインは、アプリケーションの通常のトラフィックの特性に関する Shield Advanced 情報を提供します。Shield Advanced は、これらのベースラインを使用して、アプリケーションが通常のトラフィックを受信していないタイミングを認識します。そのため、アプリケーションは通知を行い、設定に従って、潜在的な攻撃に対抗するための緩和オプションの考案とテストを開始できます。Shield Advanced がトラフィックベースラインを使用して潜在的なイベントを検出する方法の詳細については、概要セクション アプリケーションレイヤーの脅威に対する Shield Advanced 検出ロジック (レイヤー 7) を参照してください。

Shield Advanced は、保護されたリソースに関連付けられているウェブ ACL によって提供される情報からベースラインを作成します。ウェブ ACL は、Shield Advanced がアプリケーションのベースラインを確実に決定できるようになるまで、少なくとも 24 時間から最大 30 日間、リソースに関連付ける必要があります。必要な時間は、Shield Advanced または AWS WAF を介してウェブ ACL を関連付けたときに開始されます。

Shield Advanced アプリケーションレイヤー保護でウェブ ACL を使用する方法の詳細については、AWS WAF ウェブ ACL と Shield Advanced によるアプリケーションレイヤーの保護 を参照してください。

レートベースのルール

レートベースのルールは、攻撃の軽減に役立ちます。また、攻撃が通常のトラフィックのベースラインやヘルスチェックのステータスレポートに現れるほど大きな問題になる前に対処することで、攻撃を目立たなくすることもできます。

Shield Advanced でアプリケーションリソースを保護する場合は、ウェブ ACL でレートベースのルールを使用することをお勧めします。緩和策によって潜在的な攻撃を目立たなくすることはありますが、これらは貴重な第一の防御線であり、正当な顧客に対してアプリケーションの利用可能性を確保するのに役立ちます。レートベースのルールが検出するトラフィックとレート制限は、AWS WAF メトリクスに表示されます。

独自のレートベースのルールに加えて、自動アプリケーションレイヤー DDoS 緩和を有効にすると、Shield Advanced は攻撃の軽減に使用するルールグループをウェブ ACL に追加します。このルールグループで、Shield Advanced は常に、DDoS 攻撃のソースであることが判明している IP アドレスからのリクエストの量を制限するレートベースのルールを保持しています。Shield Advanced ルールが緩和するトラフィックのメトリクスは表示できません。

レートベースのルールの詳細については、「AWS WAF でのレートベースのルールステートメントの使用」を参照してください。Shield Advanced アプリケーションレイヤー DDoS 自動緩和の詳細については、Shield Advanced ルールグループによるアプリケーションレイヤーの保護 を参照してください。

Shield Advanced の詳細については、AWS WAF および Amazon CloudWatch によるモニタリング を参照してください。