翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Shield がイベントを緩和する方法

このページでは、AWS Shield イベント緩和の仕組みを紹介します。

アプリケーションを保護する緩和ロジックは、アプリケーションのアーキテクチャによって異なります。Amazon CloudFront および Amazon Route 53 でウェブアプリケーションを保護する場合、ウェブおよび DNS ユースケースに固有の緩和策と、サービスのすべてのトラフィックを保護する緩和策の恩恵を受けることができます。アプリケーションのエントリーポイントが、AWS で実行されるリソースである場合、緩和ロジックはサービス、リソースタイプ、および AWS Shield Advanced の使用状況によって変わります。

AWS DDoS 緩和システムは Shield エンジニアによって開発され、密接にAWSのサービスに統合されています。エンジニアは、ターゲットリソースの容量や健全性など、アーキテクチャの側面を考慮に入れます。Shield エンジニアは、DDoS 緩和システムの有効性とパフォーマンスを継続的に監視し、新しい脅威が発見または予測されたときに迅速に対応できます。

トラフィックの増加やロードに対応してスケールするようにアプリケーションを設計して、小規模なリクエストフラッドの影響を受けないようにする手助けをします。Shield Advanced を使用してリソースを保護すると、DDoS 攻撃の結果として発生する可能性のあるクラウド料金の予想外の増加を防ぐことができます。

インフラストラクチャの緩和

インフラストラクチャ層攻撃の場合、AWS ShieldDDoS 緩和システムは、AWS ネットワーク境界線とAWSエッジロケーションにあります。全体にわたって複数のレベルのセキュリティコントロールを配置する AWS インフラストラクチャは、クラウドアプリケーションに詳細な防御を提供します。

Shield により、インターネットからの進入のすべてのポイントで DDoS 軽減システムを維持されます。Shield は DDoS 攻撃を検出すると、進入ポイントごとに、同じ場所にある DDoS 緩和システムを介してトラフィックを再ルーティングします。これにより、観測可能なレイテンシーがさらに発生することはなく、すべての AWS リージョンとすべてのエッジロケーションにおいて、100 テラビット/秒 (Tbps) を超える緩和能力を実現します。Shield は、トラフィックを外部またはリモートのスクラビングセンターに再ルーティングすることなく、リソースの可用性を保護します。これにより、レイテンシーが増加する可能性があります。

アプリケーションレイヤーの緩和

Shield Advanced は、Shield Advanced 保護を有効にした Amazon CloudFront ディストリビューションと Application Load Balancer 向けに、ウェブアプリケーションレイヤー緩和を提供します。保護を有効にした場合、AWS WAF ウェブ ACL をリソースに関連付けて、ウェブアプリケーションレイヤーの検出を有効にすることができます。さらに、自動アプリケーションレイヤー軽減を有効にするオプションがあります。これは、DDoS 攻撃中に保護を管理するよう Shield Advanced に指示します。

Shield は、Shield Advanced と自動アプリケーションレイヤー緩和を有効にしたリソースに対するアプリケーションレイヤー攻撃に対してのみカスタム緩和策を提供します。Shield Advanced は、自動軽減機能により、既知の DDoS ソースからのリクエストに AWS WAF レート制限を適用し、検出された DDoS 攻撃に対応してカスタム AWS WAF プロテクションを自動的に追加および管理します。このタイプの緩和の詳細については、「Shield Advanced が自動緩和を管理する方法」を参照してください。。

ウェブ ACL のレートベースのルールは、ユーザーが追加した場合でも、Shield Advanced 自動アプリケーションレイヤー緩和機能によって追加された場合でも、検出可能なレベルに達する前に攻撃を軽減できます。検知の詳細については、アプリケーションレイヤーの脅威に対する Shield Advanced 検出ロジック (レイヤー 7) を参照してください。