アプリケーションレイヤー DDoS 自動緩和機能を使用するためのベストプラクティス。 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アプリケーションレイヤー DDoS 自動緩和機能を使用するためのベストプラクティス。

自動緩和機能を使用する場合は、このセクションに記載されているガイダンスを遵守してください。

一般的な保護管理

自動緩和保護を計画および実装する場合は、以下のガイドラインに従ってください。

  • Shield Advanced を通じて、または、Shield Advanced の自動緩和設定の管理に AWS Firewall Manager を使用している場合は Firewall Manager を通じて、すべての自動緩和保護を管理します。これらの保護を管理するために Shield Advanced と Firewall Manager を合わせて使用しないでください。

  • 同一のウェブ ACL と保護設定を使用して類似のリソースを管理し、別々のウェブ ACL を使用して類似していないリソースを管理してください。Shield Advanced は、保護されたリソースに対する DDoS 攻撃を緩和する場合、リソースに関連付けられているウェブ ACL のルールを定義し、ウェブ ACL に関連付けられているすべてのリソースのトラフィックに対してルールをテストします。Shield Advanced は、関連付けられたリソースに悪影響を及ぼさない場合にのみルールを適用します。詳細については、「Shield Advanced が自動緩和を管理する方法」を参照してください。

  • Amazon CloudFront ディストリビューションを介してすべてのインターネットトラフィックがプロキシされる Application Load Balancer では、CloudFront ディストリビューションでの自動緩和のみを有効にします。CloudFront ディストリビューションが持つ元のトラフィック属性の数は常に最大となります。これは、Shield Advanced が攻撃を緩和するために活用します。

検出と緩和の最適化

自動緩和が保護されたリソースに提供する保護を最適化するには、以下のガイドラインに従ってください。アプリケーションレイヤーの検出と緩和の概要については、Shield Advanced によるアプリケーションレイヤーのイベント検出と緩和に影響する要因のリスト を参照してください。

  • 保護されたリソースのヘルスチェックを設定し、それを使用して Shield Advanced 保護でヘルスベースの検出を有効にします。ガイダンスについては、「Shield Advanced と Route 53 を使用したヘルスチェックを使用したヘルスベースの検出」を参照してください。

  • Shield Advanced が通常の履歴トラフィックのベースラインを確立するまで、Count モードで自動緩和を有効にします。Shield Advanced では、ベースラインを確立するのに 24 時間から 30 日かかります。

    通常のトラフィックパターンのベースラインを確立するには、以下が必要です:

    • ウェブ ACL と保護されたリソースとの関連。AWS WAF を使用してウェブ ACL を直接関連付けるか、Shield Advanced アプリケーションレイヤー保護を有効にして使用するウェブ ACL を指定するときに Shield Advanced に関連させることができます。

    • 保護されたアプリケーションの通常のトラフィックフロー。アプリケーションの起動前など、アプリケーションに通常のトラフィックが発生していない場合や、本番環境のトラフィックが長期間不足している場合、履歴データを収集することはできません。

ウェブ ACL 管理

自動緩和で使用されるウェブ ACL を管理するには、以下のガイドラインに従ってください。

  • 保護されたリソースに関連付けられているウェブ ACL を置き換える必要がある場合は、次の変更を順番に行います。

    1. Shield Advanced が自動緩和を管理する方法。

    2. AWS WAF で、古いウェブ ACL との関連を解除し、新しいウェブ ACL と関連します。

    3. Shield Advanced で自動緩和を管理します。

    Shield Advanced は、古いウェブ ACL から新しいウェブ ACL に自動緩和を自動的に転送しません。

  • 名前が ShieldMitigationRuleGroup で始まるウェブ ACL からルールグループルールを削除しないでください。このルールグループを削除すると、ウェブ ACL に関連付けられているすべてのリソースについて、Shield Advanced 自動緩和機能によって提供される保護が無効になります。さらに、Shield Advanced が変更の通知を受け取り、設定を更新するのに時間がかかることがあります。この間、Shield Advanced コンソールページには誤った情報が表示されます。

    ルールグループの詳細については、「Shield Advanced ルールグループによるアプリケーションレイヤーの保護」を参照してください。

  • 名前が ShieldMitigationRuleGroup で始まるルールグループルールの名前を変更しないでください。変更すると、ウェブ ACL を介して Shield Advanced 自動緩和機能によって提供される保護が妨げられる可能性があります。

  • ルールとルールグループを作成するときには、ShieldMitigationRuleGroup で始まる名前を使用しないでください。この文字列は、Shield Advanced が自動緩和を管理するために使用します。

  • ウェブ ACL ルールの管理では、優先順位の設定として 10,000,000 を割り当てないでください。Shield Advanced は、自動緩和ルールグループルールを追加するときに、この優先順位設定をそのルールグループルールに割り当てます。

  • ShieldMitigationRuleGroup ルールの優先順位を維持し、ウェブ ACL 内の他のルールと関連して必要なときに実行できるようにします。Shield Advanced は、優先順位を 10,000,000 に設定したルールグループルールをウェブ ACL に追加し、他のルールよりも後に実行します。AWS WAF コンソールウィザードを使用してウェブ ACL を管理する場合は、ウェブ ACL にルールを追加した後に、必要に応じて優先順位の設定を調整してください。

  • AWS CloudFormation を使用してウェブ ACL を管理する場合は、ShieldMitigationRuleGroup ルールグループルールを管理する必要はありません。「アプリケーションレイヤー DDoS 自動緩和と AWS CloudFormation との併用」のガイダンスに従います。