自動緩和の使用に関するベストプラクティス - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

自動緩和の使用に関するベストプラクティス

自動緩和機能を使用する場合は、このセクションに記載されているガイダンスを遵守してください。

一般的な保護管理

自動緩和保護を計画および実装する場合は、以下のガイドラインに従ってください。

  • Shield アドバンスドを使用するか、Shield アドバンスド自動緩和設定の管理に使用している場合はFirewall Manager AWS Firewall Manager を使用して、すべての自動緩和保護を管理します。これらの保護を管理するために Shield Advanced と Firewall Manager を合わせて使用しないでください。

  • 同一のウェブ ACL と保護設定を使用して類似のリソースを管理し、別々のウェブ ACL を使用して類似していないリソースを管理してください。Shield Advanced は、保護されたリソースに対する DDoS 攻撃を緩和する場合、リソースに関連付けられているウェブ ACL のルールを定義し、ウェブ ACL に関連付けられているすべてのリソースのトラフィックに対してルールをテストします。Shield Advanced は、関連付けられたリソースに悪影響を及ぼさない場合にのみルールを適用します。詳細については、「Shield Advanced が自動緩和を管理する方法」を参照してください。

  • すべてのインターネットトラフィックが Amazon CloudFront ディストリビューションを介してプロキシされるアプリケーションロードバランサーの場合は、ディストリビューションでのみ自動軽減を有効にします。 CloudFront CloudFront ディストリビューションには常に最大数のオリジナルトラフィック属性が存在し、Shield Advanced はそれを活用して攻撃を軽減します。

検出と軽減の最適化

以下のガイドラインに従って、自動緩和機能が保護対象リソースに提供する保護を最適化してください。アプリケーション層の検出と軽減の概要については、を参照してください。検出と緩和

  • 保護対象リソースのヘルスチェックを設定し、それらを使用してShield Advanced 保護でヘルスベースの検出を有効にします。ガイダンスについては、「ヘルスチェックを使用したHealth ベースの検出」を参照してください。

  • Shield Advancedが通常の過去のトラフィックのベースラインを確立するまで、Countモードで自動軽減を有効にします。Shield アドバンスドでは、ベースラインを確立するのに24時間から30日かかります。

    通常のトラフィックパターンのベースラインを確立するには、以下が必要です。

    • ウェブ ACL を保護対象リソースに関連付ける。を使用してウェブ ACL AWS WAF を直接関連付けることも、Shield アドバンストアプリケーションレイヤー保護を有効にして使用するウェブ ACL を指定するときに Shield アドバンスドに関連付けさせることもできます。

    • 保護対象アプリケーションへの通常のトラフィックフロー。アプリケーションが起動される前など、アプリケーションのトラフィックが正常でない場合や、本番環境のトラフィックが長期間不足している場合、履歴データを収集することはできません。

ウェブ ACL 管理

自動緩和策で使用するウェブ ACL を管理するには、以下のガイドラインに従ってください。

  • 保護対象リソースに関連付けられているウェブ ACL を置き換える必要がある場合は、次の変更を順番に行ってください。

    1. Shield アドバンスドで、自動緩和機能を無効にします。

    2. で AWS WAF、古いウェブ ACL の関連付けを解除し、新しいウェブ ACL を関連付けます。

    3. Shield アドバンスドで、自動緩和機能を有効にします。

    Shield Advanced は、自動緩和を古いウェブ ACL から新しいウェブ ACL に自動的に移行しません。

  • 名前が ShieldMitigationRuleGroup で始まるウェブ ACL からルールグループルールを削除しないでください。このルールグループを削除すると、ウェブ ACL に関連付けられているすべてのリソースの Shield Advanced 自動緩和によって提供される保護が無効になります。さらに、Shield Advanced が変更の通知を受け取り、設定を更新するのに時間がかかることがあります。この間、Shield Advanced コンソールページには誤った情報が表示されます。

    ルールグループの詳細については、「Shield Advanced ルールグループ」を参照してください。

  • 名前が ShieldMitigationRuleGroup で始まるルールグループルールの名前を変更しないでください。変更すると、ウェブ ACL を介して Shield Advanced 自動緩和機能によって提供される保護が妨げられる可能性があります。

  • ルールとルールグループを作成するときには、ShieldMitigationRuleGroup で始まる名前を使用しないでください。この文字列は、Shield Advanced が自動緩和を管理するために使用します。

  • ウェブ ACL ルールの管理では、優先順位の設定として 10,000,000 を割り当てないでください。Shield Advanced は、自動緩和ルールグループルールを追加するときに、この優先順位設定をそのルールグループルールに割り当てます。

  • ShieldMitigationRuleGroup ルールの優先順位を維持し、ウェブ ACL 内の他のルールと関連して必要なときに実行できるようにします。Shield Advanced は、優先順位を 10,000,000 に設定したルールグループルールをウェブ ACL に追加し、他のルールよりも後に実行します。 AWS WAF コンソールウィザードを使用してウェブ ACL を管理する場合は、ウェブ ACL にルールを追加した後に、必要に応じて優先順位設定を調整してください。

  • AWS CloudFormation を使用してウェブ ACL を管理する場合は、ShieldMitigationRuleGroupルールグループのルールを管理する必要はありません。「AWS CloudFormation アプリケーションレイヤーの自動DDoS対策との併用」のガイダンスに従います。