ウェブアプリケーションの AWS Shield Advanced 緩和ロジック

AWS Shield Advanced は AWS WAF を使用して、ウェブアプリケーションレイヤー攻撃を軽減します。AWS WAF は Shield Advanced に追加料金なしで付属しています。

アプリケーションレイヤー標準保護

Amazon CloudFront ディストリビューション、またはApplication Load Balancer を Shield Advanced で保護する場合、Shield Advanced を使用して、保護されたリソースに AWS WAF ウェブ ACL を関連付けることができます (まだ関連付けられていない場合)。ウェブ ACL をまだ設定していない場合は、Shield Advanced コンソールウィザードを使用して作成して、レートベースのルールを追加できます。レートベースのルールは、各 IP アドレスの 5 分間の時間枠あたりの要求数を制限し、ウェブアプリケーション層のリクエストのフラッドに対する基本的な保護を提供します。レートは 10 から設定できます。詳細については、「AWS WAF ウェブ ACL と Shield Advanced によるアプリケーションレイヤーの保護」を参照してください。

AWS WAF サービスを使用して、ウェブ ACL の管理を行うこともできます。AWS WAF により、ウェブ ACL の設定を拡張して、特定のウェブリクエストコンポーネントの文字列の一致やパターンを調べたり、リクエストやレスポンスのカスタム処理を追加したり、リクエスト元の位置情報との照合などを行うことができます。AWS WAF ルールの詳細については、「AWS WAF ルールの使用」を参照してください。

アプリケーションレイヤーの自動緩和

保護を強化するには、Shield Advanced アプリケーションレイヤーの自動緩和を有効にします。このオプションを使用すると、Shield Advanced は既知の DDoS ソースからのリクエストに対する AWS WAF レート制限ルールを維持し、検出された DDoS 攻撃に対するカスタムの緩和策を提供します。

Shield Advanced は、保護されたリソースに対する攻撃を検出すると、アプリケーションへの通常のトラフィックから攻撃トラフィックを分離する攻撃シグネチャの特定を試みます。Shield Advanced は、識別された攻撃シグネチャを攻撃対象のリソースおよび同じウェブ ACL に関連付けられている他のリソースについての過去のトラフィックパターンに照らして評価します。

Shield Advanced は、攻撃シグネチャが DDoS 攻撃に関与するトラフィックのみを隔離すると判断した場合、関連するウェブ ACL 内の AWS WAF ルールにシグネチャを実装します。Shield Advanced に、一致したトラフィックのみをカウントする、またはブロックする緩和を配置するように指示できます。この設定はいつでも変更できます。Shield Advanced は、緩和ルールが不要になったと判断すると、そのルールをウェブ ACL から削除します。アプリケーションレイヤーイベントの緩和の詳細については、「Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 」を参照してください。

Shield Advanced アプリケーションレイヤー の緩和の詳細については、「AWS Shield Advanced および AWS WAF によるアプリケーションレイヤー (レイヤー 7) の保護」を参照してください。