AWS Shield Advanced および によるアプリケーションレイヤー (レイヤー 7) の保護 AWS WAF

このページでは、Shield Advanced と AWS WAF が連携してアプリケーションレイヤー (レイヤー 7) のリソースを保護する方法について説明します。

アプリケーションレイヤーリソースを Shield Advanced で保護するには、まずウェブをリソースACLに関連付け AWS WAF 、1 つ以上のレートベースのルールを追加します。さらに、自動アプリケーションレイヤーDDoS緩和を有効にできます。これにより、Shield Advanced はDDoS攻撃に応じてユーザーに代わってウェブACLルールを自動的に作成および管理します。

Shield Advanced を使用してアプリケーションレイヤーリソースを保護する場合、Shield Advanced は、トラフィックを時間の経過に合わせて分析し、ベースラインを確立して維持します。Shield Advanced は、これらのベースラインを使用して、DDoS攻撃を示す可能性のあるトラフィックパターンの異常を検出します。Shield Advanced が攻撃を検出するポイントは、Shield Advanced が攻撃前にモニタリングできる状態になっていたトラフィックと、ウェブアプリケーションで使用するアーキテクチャによって異なります。Shield Advanced の動作に影響を与える可能性があるアーキテクチャのバリエーションには、使用するインスタンスのタイプ、インスタンスのサイズ、該当するインスタンスのタイプが拡張ネットワーキングをサポートするかどうかなどがあります。Shield Advanced を設定して、アプリケーションレイヤー攻撃に対して自動的に緩和策を実施することもできます。

Shield Advanced サブスクリプションと AWS WAF コスト

Shield Advanced サブスクリプションは、Shield Advanced で保護するリソースに標準 AWS WAF 機能を使用するコストをカバーします。Shield Advanced 保護の対象となる標準 AWS WAF 料金はACL、ウェブあたりのコスト、ルールあたりのコスト、およびウェブリクエスト検査の 100 万リクエストあたりの基本料金で、最大 1,500 WCUs個、デフォルトの本文サイズまでです。

Shield Advanced 自動アプリケーションレイヤーDDoS緩和を有効にすると、150 個のウェブACLキャパシティユニット () を使用するルールグループACLがウェブに追加されますWCUs。これらは、ウェブ のWCU使用状況にWCUsカウントされますACL。詳細については、Shield Advanced によるアプリケーションレイヤーのDDoS緩和の自動化 、Shield Advanced ルールグループによるアプリケーションレイヤーの保護、およびのウェブACLキャパシティーユニット (WCUs) について AWS WAFを参照してください。

Shield Advanced のサブスクリプションは、Shield Advanced を使用して保護しないリソース AWS WAF の の使用には適用されません。また、保護されたリソースの標準以外の追加 AWS WAF コストもカバーされません。非標準 AWS WAF コストの例は、Bot Control の場合、CAPTCHA ルールアクション。1,500 を超える ACLsを使用するウェブの場合WCUs、およびデフォルトの本文サイズを超えるリクエスト本文を検査する場合。完全なリストは AWS WAF 料金ページに記載されています。

詳細情報および料金の例については、「Shield の料金」および「AWS WAF  の料金」を参照してください。