Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
注意

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和

このページでは、アプリケーションレイヤーの自動 DDoS 緩和のトピックを紹介し、関連する規制を一覧表示します。

攻撃の一部であるウェブリクエストをカウントまたはブロックすることで、保護されたアプリケーションレイヤーリソースに対するアプリケーションレイヤー (レイヤー 7) 攻撃を自動的に緩和して対応するよう Shield Advanced を設定できます。このオプションは、AWS WAF ウェブ ACL と独自のレートベースのルールを使用して Shield Advanced を通じて追加するアプリケーションレイヤー保護への追加です。

リソースの自動緩和が有効になっている場合、Shield Advanced はリソースの関連するウェブ ACL にルールグループを管理し、リソースに代わって緩和ルールを管理します。ルールグループには、DDoS 攻撃のソースであることが判明している IP アドレスからのリクエストの量を追跡するレートベースのルールが含まれています。

さらに、Shield Advanced は、現在のトラフィックパターンと過去のトラフィックベースラインを比較して、DDoS 攻撃を示している可能性のある逸脱を検出します。Shield Advanced は、ルールグループに追加のカスタム AWS WAF ルールを作成、評価、およびデプロイすることにより、検出された DDoS 攻撃に対応します。

自動アプリケーションレイヤー DDoS 緩和の使用に関する規制

次のリストでは、Shield Advanced アプリケーションレイヤー DDoS 自動緩和の注意事項と、対応が必要となる可能性があるステップについて説明します。

  • アプリケーションレイヤー DDoS 自動緩和は、AWS WAF (v2)の最新バージョンを使用して作成されたウェブ ACL でのみ機能します。

  • Shield Advanced には、アプリケーションの通常の履歴トラフィックのベースラインを確立する時間が必要です。これを活用して、攻撃トラフィックを検出して通常のトラフィックから分離し、攻撃トラフィックを軽減します。ベースラインを確立する時間は、ウェブ ACL を保護されたアプリケーションリソースに関連付ける時点から 24 時間から 30 日の間です。トラフィックベースラインの詳細については、Shield Advanced によるアプリケーションレイヤーのイベント検出と緩和に影響する要因のリスト を参照してください。

  • 自動アプリケーションレイヤー DDoS 緩和を有効にすると、150 個のウェブ ACL キャパシティユニット (WCU)。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。詳細については、「Shield Advanced ルールグループによるアプリケーションレイヤーの保護」および「のウェブACLキャパシティーユニット (WCUs) AWS WAF」を参照してください。

  • Shield Advanced ルールグループは AWS WAF メトリクスを生成しますが、表示することはできません。これは、ウェブ ACL で使用しているが、AWS マネージドルールのルールグループなど、所有していない他のルールグループと同じです。AWS WAF メトリクスの詳細については、「AWS WAF のメトリクスとディメンション」を参照してください。Shield Advanced 保護オプションの機能については、Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 を参照してください。

  • 複数のリソースを保護するウェブ ACL の場合、自動緩和は、どのリソースにも悪影響をおよぼさないカスタム緩和策のみを展開します。

  • DDoS 攻撃の開始から Shield Advanced がカスタム自動緩和ルールを実行するまでの時間は、各イベントによって異なります。一部の DDoS 攻撃は、カスタムルールがデプロイされる前に終了することがあります。他の攻撃は、緩和策が既に実施されている場合に発生する可能性があるため、これらのルールによってイベントの開始時から緩和される可能性があります。さらに、ウェブ ACL および Shield Advanced ルールグループのレートベースのルールは、潜在的なイベントとして検出される前に、攻撃トラフィックを軽減する可能性があります。

  • Amazon CloudFront などのコンテンツ配信ネットワーク (CDN) を介してトラフィックを受信する Application Load Balancer では、それらの Application Load Balancer リソース向けの Shield Advanced のアプリケーションレイヤーの自動緩和機能は低減します。Shield Advanced は、クライアントトラフィック属性を使用して、アプリケーションへの通常のトラフィックから攻撃トラフィックを識別および分離します。CDN は、元のクライアントトラフィック属性を保持または転送しない場合があります。CloudFront を使用する場合は、CloudFront ディストリビューションで自動緩和策を有効にすることをお勧めします。

  • アプリケーションレイヤー DDoS 自動緩和は、保護グループとインタラクションしません。保護グループに含まれるリソースのために自動緩和を有効にできますが、Shield Advanced は、保護グループの検出結果に基づいて攻撃の緩和策を自動的に適用しません。Shield Advanced は、個々のリソースのために攻撃の自動緩和を適用します。

目次