AWS Shield Advanced および AWS WAF によるアプリケーションレイヤー (レイヤー 7) の保護

このページでは、Shield Advanced と AWS WAF が連携してアプリケーションレイヤー (レイヤー 7) のリソースを保護する方法について説明します。

Shield Advanced を使用してアプリケーションレイヤーのリソースを保護するには、まず AWS WAF ウェブ ACL をリソースに関連付けて、それに 1 つ以上のレートベースのルールを追加します。さらに、アプリケーションレイヤー DDoS 自動緩和を有効にすることもできます。これにより、DDoS 攻撃への対応として、Shield Advanced がユーザーのために自動的にウェブ ACL ルールを作成および管理するようになります。

Shield Advanced を使用してアプリケーションレイヤーリソースを保護する場合、Shield Advanced は、トラフィックを時間の経過に合わせて分析し、ベースラインを確立して維持します。Shield Advanced は、DDoS 攻撃を示している可能性のあるトラフィックパターンの異常を検出するために、これらのベースラインを使用します。Shield Advanced が攻撃を検出するポイントは、Shield Advanced が攻撃前にモニタリングできる状態になっていたトラフィックと、ウェブアプリケーションで使用するアーキテクチャによって異なります。Shield Advanced の動作に影響を与える可能性があるアーキテクチャのバリエーションには、使用するインスタンスのタイプ、インスタンスのサイズ、該当するインスタンスのタイプが拡張ネットワーキングをサポートするかどうかなどがあります。Shield Advanced を設定して、アプリケーションレイヤー攻撃に対して自動的に緩和策を実施することもできます。

Shield Advanced サブスクリプションと AWS WAF コスト

Shield Advanced のサブスクリプションは、Shield Advanced で保護するリソースの標準 AWS WAF 機能を使用する際の費用を負担します。Shield Advanced の保護でカバーされる標準の AWS WAF 料金は、ウェブ ACL あたりのコスト、ルールあたりのコスト、およびウェブリクエスト検査の 100 万件のリクエストあたりの基本料金です (最大で 1,500 WCU およびデフォルト本体サイズ)。

Shield Advanced 自動アプリケーションレイヤー DDoS 緩和を有効にすると、150 個のウェブ ACL キャパシティユニット (WCU) はルールグループに追加されます。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。詳細については、Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 、Shield Advanced ルールグループによるアプリケーションレイヤーの保護、およびAWS WAF のウェブ ACL キャパシティユニット (WCU) についてを参照してください。

Shield Advanced を使用して保護していないリソースの AWS WAF の使用は、Shield Advanced へのサブスクリプションではカバーされません。また、保護対象リソースの標準外の追加 AWS WAF 費用もカバーされません。標準外の AWS WAF 費用の例としては、Bot Control、CAPTCHA ルールアクション、1,500 個以上の WCU を使用するウェブ ACL、デフォルトの本文サイズを超えるリクエスト本文の検査などがあります。詳細なリストは AWS WAF の料金ページでご覧いただけます。

詳細情報および料金の例については、「Shield の料金」および「AWS WAF の料金」を参照してください。