翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アプリケーションレイヤーの脅威に対する Shield Advanced 検出ロジック (レイヤー 7)
このページでは、アプリケーション層におけるイベント検出の仕組みについて説明します。
AWS Shield Advanced は、保護された Amazon CloudFront ディストリビューションと Application Load Balancer 向けに、ウェブアプリケーションレイヤー検出を提供します。これらのリソースタイプを Shield Advanced で保護する場合、AWS WAF ウェブ ACL を保護に関連付けて、ウェブアプリケーションレイヤーの検出を有効にすることができます。Shield Advanced は、関連付けられたウェブ ACL のリクエストデータを消費し、アプリケーションのトラフィックベースラインを構築します。ウェブアプリケーションレイヤーの検出は、Shield Advanced と AWS WAF のネイティブ統合に依存しています。AWS WAF ウェブ ACL を Shield Advanced で保護されたリソースに関連付けるなど、アプリケーションレイヤーの保護の詳細については、「AWS Shield Advanced および AWS WAF によるアプリケーションレイヤー (レイヤー 7) の保護」を参照してください。
ウェブアプリケーションレイヤーの検出では、Shield Advanced はアプリケーショントラフィックをモニタリングし、異常を検出する過去のベースラインと比較します。このモニタリングは、トラフィックの総量と構成をカバーします。DDoS 攻撃を受けている最中、トラフィックの量と構成の両方が変化することが想定され、Shield Advanced では、イベントを宣言するために両方における統計的に有意な偏差が必要です。
Shield Advanced は、過去のタイムウィンドウに照らして測定を実行します。このアプローチを使用すると、トラフィック量の正当な変化や、毎日同じ時間に提供される販売など、想定されるパターンに一致するトラフィックの変化による誤検出の通知が減少します。
注記
Shield Advanced が通常の正当なトラフィックパターンを表すベースラインを確立する時間を与えることで、Shield Advanced 保護の誤検出を回避できます。Shield Advanced は、ウェブ ACL を保護されたリソースに関連付けると、ベースラインの情報を収集し始めます。ウェブトラフィックに異常なパターンを引き起こす可能性のある予定イベントの少なくとも 24 時間前に、ウェブ ACL を保護リソースに関連付けます。Shield Advanced のウェブアプリケーションレイヤー検出は、30 日間の通常のトラフィックが観測された場合に最も正確です。
Shield Advanced がイベントを検出するのにかかる時間は、トラフィック量で見られる変化の量の影響を受けます。量の変化が少ない場合、Shield Advanced は、イベントが発生していることについてのより強い確信を持つために、トラフィックをより長い期間にわたって観察します。量の変化が大きい場合、Shield Advanced はイベントをより迅速に検出してレポートします。
ウェブ ACL のレートベースのルールは、ユーザーによって追加されるか、Shield Advanced 自動アプリケーションレイヤー緩和機能によって追加されるかにかかわらず、検出可能なレベルに達する前に攻撃を軽減できます。アプリケーションレイヤー DDoS の自動緩和の詳細については、Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 を参照してください。
注記
トラフィックの増加やロードに対応してスケールするようにアプリケーションを設計して、小規模なリクエストフラッドの影響を受けないようにすることができます。Shield Advanced を使用すると、保護されたリソースはコスト保護の対象となります。これは、DDoS 攻撃の結果として発生する可能性のあるクラウド料金の想定外の増加を防ぐのに役立ちます。Shield Advanced のコスト保護の詳細については、「攻撃後の AWS Shield Advanced 内のクレジットに対するリクエスト」を参照してください。
