Shield Advanced が自動緩和を管理する方法 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
DDoS 攻撃中Shield Advanced がアクション設定を管理する方法攻撃が沈静化した場合自動緩和を無効にした場合

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Shield Advanced が自動緩和を管理する方法

このセクションのトピックでは、Shield Advanced が自動アプリケーションレイヤーDDoS緩和の設定変更を処理する方法と、自動緩和が有効になっている場合のDDoS攻撃の処理方法について説明します。

Shield Advanced が自動緩和でDDoS攻撃に対応する方法

保護されたリソースで自動緩和を有効にすると、ShieldKnownOffenderIPRateBasedRuleShield Advanced ルールグループのレートベースのルールは、既知のDDoSソースからの昇格されたトラフィックボリュームに自動的に応答します。このレート制限は迅速に適用され、攻撃に対する最前線の防御として機能します。

Shield Advanced が攻撃を検出すると、次の処理が実行されます。

  1. アプリケーションへの通常のトラフィックから攻撃トラフィックを分離する攻撃シグネチャの特定を試みます。目標は、配置時に攻撃トラフィックにのみ影響し、アプリケーションへの通常のトラフィックには影響しない高品質のDDoS緩和ルールを生成することです。

  2. 識別された攻撃署名を、攻撃対象のリソースと、同じウェブ に関連付けられている他のリソースの履歴トラフィックパターンに対して評価しますACL。Shield Advanced は、イベントに対応してルールをデプロイする前にこれを実行します。

    Shield Advanced は、評価結果に応じて、次のいずれかを実行します。

    • Shield Advanced は、攻撃署名がDDoS攻撃に関係するトラフィックのみを分離すると判断した場合、ウェブ の Shield Advanced 緩和ルールグループの AWS WAF ルールに署名を実装しますACL。Shield Advanced は、リソースの自動緩和用に設定したアクション設定をこれらのルールに付与します。Count または Block.

    • その他の場合、Shield Advanced は緩和策を講じません。

攻撃全体を通じて、Shield Advanced は、基本的な Shield Advanced アプリケーションレイヤー保護と同じ通知を送信し、同じイベント情報を提供します。イベントとDDoS攻撃、および攻撃の Shield Advanced 緩和策に関する情報は、Shield Advanced イベントコンソールで確認できます。詳細については、Shield Advanced によるDDoSイベントの可視性 を参照してください。

を使用するように自動緩和を設定している場合 Block ルールアクション。Shield Advanced がデプロイした緩和ルールから誤検出が発生した場合は、ルールアクションを に変更できます。Count。 この方法の詳細については、「」を参照してください自動アプリケーションレイヤーDDoS緩和に使用されるアクションの変更

Shield Advanced がルールアクション設定を管理する方法

自動緩和のルールアクションを に設定することができます。Block または Count.

保護されたリソースの自動緩和ルールアクション設定を変更すると、Shield Advanced は、リソースのすべてのルール設定を更新します。Sheild Advanced ルールグループのリソースに現在適用されているルールが更新され、新しいルールの作成時に新しいアクション設定が使用されます。

同じウェブ を使用するリソースではACL、異なるアクションを指定すると、Shield Advanced は を使用します。Block ルールグループのレートベースのルール のアクション設定ShieldKnownOffenderIPRateBasedRule。Shield Advanced は、特定の保護対象リソースに代わってルールグループ内の他のルールを作成および管理し、リソースに指定したアクション設定を使用します。ウェブ内の Shield Advanced ルールグループのすべてのルールACLは、関連するすべてのリソースのウェブトラフィックに適用されます。

アクション設定を変更すると、反映されるまでに数秒かかる場合があります。この間、ルールグループが使用されている場所によっては古い設定が表示され、他の場所では新しい設定が表示される場合があります。

自動緩和設定のルールアクション設定は、コンソールのイベントページ、およびアプリケーションレイヤー設定ページで変更できます。イベントページの詳細については、「でのDDoSイベントへの対応 AWS」を参照してください。設定ページについては、「アプリケーションレイヤーDDoS保護を設定する」を参照してください。

攻撃が沈静化した場合に Shield Advanced が緩和を管理する方法

Shield Advanced は、特定の攻撃に対してデプロイされた緩和ルールが不要になったと判断すると、そのルールを Shield Advanced 緩和ルールグループから削除します。

緩和ルールの削除は、必ずしも攻撃の終了と一致しません。Shield Advanced は、保護されたリソースで検出された攻撃のパターンをモニタリングします。攻撃の最初の発生に対してデプロイしたルールを所定の位置に保持することで、特定のシグネチャを使用した攻撃の再発を先回りして防御できる場合があります。必要に応じて、Shield Advanced はルールを保持する時間枠を拡大します。このようにして、Shield Advanced は、保護されたリソースに影響が及ぶ前に、特定のシグネチャで繰り返される攻撃を緩和する場合があります。

Shield Advanced はレートベースのルール を削除しません。これによりShieldKnownOffenderIPRateBasedRule、DDoS攻撃のソースとして知られている IP アドレスからのリクエストの量が制限されます。

自動緩和を無効にした場合の実行内容

Shield Advanced は、リソースのための自動緩和を無効にすると、次の処理を実行します。

  • DDoS 攻撃への自動応答を停止 – Shield Advanced はリソースの自動応答アクティビティを中止します。

  • [Removes unneeded rules from the Shield Advanced rule group] (Shield Advanced ルールグループから不要なルールを削除) – Shield Advanced が保護されたリソースのためにマネージドルールグループ内のルールを維持している場合、それらを削除します。

  • Shield Advanced ルールグループが使用されなくなった場合、削除します – リソースACLに関連付けられているウェブが、自動緩和が有効になっている他のリソースに関連付けられていない場合、Shield Advanced はルールグループルールをウェブ から削除しますACL。