Shield Advanced ルールグループによるアプリケーションレイヤーの保護
このページでは、ウェブ ACL での Shield Advanced ルールグループの仕組みについて説明します。
Shield Advanced は、所有および管理するルールグループ内のルールを使用して、自動緩和アクティビティを管理します。Shield Advanced は、保護されたリソースに関連付けたウェブ ACL 内のルールを使用してルールグループを参照します。
ウェブ ACL におけるルールグループルール
ウェブ ACL の Shield Advanced ルールグループルールには、次のプロパティがあります。
-
[Name] (名前) –
ShieldMitigationRuleGroup
_
account-id
_web-acl-id
_unique-identifier
-
[Web ACL capacity units (WCU)] (ウェブ ACL キャパシティーユニット (WCU)) – 150。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。
Shield Advanced は、ウェブ ACL に優先順位を 10,000,000 に設定したこのルールを作成して、ウェブ ACL 内の他のルールやルールグループよりも後でルールが実行されるようにします。AWS WAF は、ウェブ ACL 内の優先順位の数値が最小のルールから順に実行します。ウェブ ACL の管理中に、この優先順位の設定が変更される場合があります。
自動緩和機能は、ウェブ ACL のルール グループによって使用される WCU を除き、アカウント内の追加の AWS WAF リソースを消費しません。例えば、Shield Advanced ルールグループは、アカウントのルールグループの 1 つとしてカウントされません。AWS WAF のアカウントの制限の詳細については、「AWS WAF のクォータ」を参照してください。
ルールグループ内のルール
参照先の Shield Advanced ルールグループ内では、Shield Advanced が DDoS 攻撃のソースであることが判明している IP アドレスからのリクエストの量を制限するレートベースのルール ShieldKnownOffenderIPRateBasedRule
を維持します。このルールは常にルールグループに存在し、トラフィックパターンの分析に頼らずに攻撃を封じ込めるため、あらゆる攻撃に対する防御の最前線として機能します。このルールのアクションは、ルールグループの他のルールと同様に、自動緩和策で選択したアクションに設定されます。レートベースルールの詳細については、「AWS WAF でのレートベースのルールステートメントの使用」を参照してください。
注記
レートベースのルール ShieldKnownOffenderIPRateBasedRule
の動きは、Shield Advanced イベント検出とは無関係です。自動緩和が有効になっている間、このルールレートは DDoS 攻撃のソースとして知られている IP アドレスを制限します。これらの IP アドレスの場合、ルールのレート制限により、攻撃を防止し、Shield Advanced 検出情報に攻撃が表示されないようにすることができます。このトレードオフは、攻撃パターンを完全に可視化するよりも防止を優先します。
上記の永久レートベースのルールに加えて、ルールグループには、Shield Advanced が現在 DDoS 攻撃を軽減するために使用しているすべてのルールが含まれます。Shield Advanced は、必要に応じてこれらのルールを追加、変更、削除します。詳細については、Shield Advanced が自動緩和を管理する方法 を参照してください。
メトリクス
ルールグループは AWS WAF メトリクスを生成しますが、このルールグループは Shield Advanced が所有するため、これらのメトリクスを表示することはできません。詳細については、「AWS WAF のメトリクスとディメンション」を参照してください。