翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS WAF ウェブACLsと Shield Advanced によるアプリケーションレイヤーの保護
このページでは、 AWS WAF ウェブACLsと Shield Advanced が連携して基本的なアプリケーションレイヤー保護を作成する方法について説明します。
アプリケーションレイヤーリソースを Shield Advanced で保護するには、まずウェブを AWS WAF ACLリソースに関連付けることから始めます。 AWS WAF は、アプリケーションレイヤーリソースに転送される HTTPおよび HTTPSリクエストをモニタリングし、リクエストの特性に基づいてコンテンツへのアクセスを制御できるウェブアプリケーションファイアウォールです。リクエストの発信元、クエリ文字列と Cookie の内容、単一の IP アドレスからのリクエストのレートなどの要因に基づいて、リクエストをモニタリングおよび管理ACLするようにウェブを設定できます。少なくとも、Shield Advanced 保護では、ウェブをACLレートベースのルールに関連付ける必要があります。これにより、各 IP アドレスのリクエストレートが制限されます。
関連付けられたウェブにレートベースのルールACLが定義されていない場合、Shield Advanced は少なくとも 1 つのルールを定義するように求められます。レートベースのルールはIPs、定義したしきい値を超えると、ソースからのトラフィックを自動的にブロックします。これらは、ウェブリクエストのフラッドからアプリケーションを保護するのに役立ち、潜在的なDDoS攻撃を示すトラフィックの急増に関するアラートを提供することができます。
注記
レートベースのルールは、ルールがモニタリングしているトラフィックの急増に非常に迅速に応答します。このため、レートベースのルールは、攻撃だけでなく、Shield Advanced 検出による潜在的な攻撃の検出も防止できます。このトレードオフは、攻撃パターンを完全に可視化するよりも防止を優先します。攻撃に対する防御の最前線として、レートベースのルールを使用することをお勧めします。
ウェブACLを配置すると、DDoS攻撃が発生した場合は、ウェブ にルールを追加および管理して緩和策を適用しますACL。これは、Shield Response Team (SRT) の支援を受けて直接行うか、アプリケーションレイヤーの自動DDoS緩和によって自動的に行うことができます。
重要
また、自動アプリケーションレイヤーDDoS緩和を使用する場合は、 ACL でウェブを管理するためのベストプラクティスを参照してください自動アプリケーションレイヤーDDoS緩和を使用するためのベストプラクティス。
AWS WAF を使用してウェブリクエストのモニタリングおよび管理ルールを管理する方法については、「」を参照してくださいACL でのウェブの作成 AWS WAF。
