AWS WAF でアプリケーションレイヤー (レイヤー 7) DDoS 保護を設定する - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF でアプリケーションレイヤー (レイヤー 7) DDoS 保護を設定する

このページでは、AWS WAF ウェブ ACL でアプリケーションレイヤー保護を設定する手順について説明します。

アプリケーションレイヤーリソースを保護するために、Shield Advanced はレートベースのルールを持つ AWS WAF ウェブ ACL を開始点として使用します。AWS WAF はアプリケーションレイヤーリソースに転送される HTTP および HTTPS リクエストをモニタリングし、リクエストの特性に基づいてコンテンツへのアクセスを制御できるウェブアプリケーションファイアウォールです。レートベースのルールは、リクエスト集約条件に基づいてトラフィックの量を制限し、アプリケーションに基本的な DDoS 防御を提供します。詳細については、AWS WAF の働きおよびAWS WAF でのレートベースのルールステートメントの使用を参照してください。

また、オプションで Shield Advanced の自動アプリケーションレイヤーの DDoS 談話を有効にして、既知の DDoS ソースから Shield Advanced レート制限リクエストを受け取り、インシデント固有の保護を自動的に提供することもできます。

重要

Shield Advanced ポリシーを使用して AWS Firewall Manager を通じて Shield Advanced 保護を管理する場合、ここでアプリケーションレイヤー保護を管理することはできません。Firewall Manager Shield Advanced ポリシーで管理する必要があります。

Shield Advanced サブスクリプションと AWS WAF コスト

Shield Advanced のサブスクリプションは、Shield Advanced で保護するリソースの標準 AWS WAF 機能を使用する際の費用を負担します。Shield Advanced の保護でカバーされる標準の AWS WAF 料金は、ウェブ ACL あたりのコスト、ルールあたりのコスト、およびウェブリクエスト検査の 100 万件のリクエストあたりの基本料金です (最大で 1,500 WCU およびデフォルト本体サイズ)。

Shield Advanced 自動アプリケーションレイヤー DDoS 緩和を有効にすると、150 個のウェブ ACL キャパシティユニット (WCU) はルールグループに追加されます。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。詳細については、Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 Shield Advanced ルールグループによるアプリケーションレイヤーの保護、およびのウェブACLキャパシティーユニット (WCUs) AWS WAFを参照してください。

Shield Advanced を使用して保護していないリソースの AWS WAF の使用は、Shield Advanced へのサブスクリプションではカバーされません。また、保護対象リソースの標準外の追加 AWS WAF 費用もカバーされません。標準外の AWS WAF 費用の例としては、Bot Control、CAPTCHA ルールアクション、1,500 個以上の WCU を使用するウェブ ACL、デフォルトの本文サイズを超えるリクエスト本文の検査などがあります。詳細なリストは AWS WAF の料金ページでご覧いただけます。

詳細情報および料金の例については、「Shield の料金」および「AWS WAF の料金」を参照してください。

リージョン用にレイヤー 7 DDoS 保護を設定するには

Shield Advanced では、選択したリソースが配置されている各リージョンについて、レイヤー 7 DDoS 緩和策を設定するオプションを使用できます。複数のリージョンに保護を追加する場合、ウィザードはリージョンごとに次の手順を説明します。

  1. [Configure layer 7 DDoS protections] (レイヤー 7 DDoS 保護の設定) ページには、ウェブ ACL にまだ関連付けられていない各リソースが一覧表示されます。これらのそれぞれについて、既存のウェブ ACL を選択するか、新しいウェブ ACL を作成します。すでにウェブ ACL が関連付けられているリソースについては、まず AWS WAF を通じて現在のウェブ ACL の関連付けを解除することで、ウェブ ACL を変更できます。詳細については、「ウェブ ACL と AWS リソースの関連付けまたは関連付けの解除」を参照してください。

    レートベースのルールがまだないウェブ ACL の場合、設定ウィザードでルールを追加するよう求められます。レートベースのルールは、大量のリクエストを送信している IP アドレスからのトラフィックを制限します。レートベースのルールは、ウェブリクエストのフラッドからアプリケーションを保護するのに役立つとともに、DDoS 攻撃の可能性を示していることがあるトラフィックの急増についてアラートを出すことができます。[Add rate limit rule] (レート制限ルールを追加) を選択し、レート制限とルールアクションを指定して、レートベースのルールをウェブ ACL に追加します。ウェブ ACL では、AWS WAF を通じて追加の保護を設定できます。

    レートベースのルールの追加設定オプションを含む、Shield Advanced 保護でのウェブ ACL およびレートベースのルールの使用方法については、「AWS WAF ウェブ ACL と Shield Advanced によるアプリケーションレイヤーの保護」を参照してください。

  2. [Automatic application layer DDoS mitigation] (アプリケーションレイヤー DDoS 自動緩和) では、Shield Advanced がアプリケーションレイヤーリソースに対する DDoS 攻撃を自動的に緩和するようにするには、[Enable] (有効化) を選択してから、Shield Advanced がカスタムルールで使用する AWS WAF ルールアクションを選択します。この設定は、このウィザードセッションで管理しているリソースのすべてのウェブ ACL に適用されます。

    Shield Advanced は、アプリケーションレイヤーの自動 DDoS 軽減機能により、AWS WAF リソースのウェブ ACL にレートベースのルールを維持し、既知の DDoS ソースからのリクエストの量を制限します。さらに、Shield Advanced は、現在のトラフィックパターンと過去のトラフィックベースラインを比較して、DDoS 攻撃を示している可能性のある逸脱を検出します。Shield Advanced が DDoS 攻撃を検出すると、対応用のカスタム AWS WAF ルールを作成、評価、およびデプロイすることで対応します。カスタムルールが、ユーザーに代わって攻撃に対してカウントまたはブロックするかどうかを指定します。

    注記

    アプリケーションレイヤー DDoS 自動緩和は、AWS WAF (v2)の最新バージョンを使用して作成されたウェブ ACL でのみ機能します。

    この機能を使用するための注意点やベストプラクティスなど、Shield Advanced 自動アプリケーションレイヤー DDoS 緩和の詳細については、Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 を参照してください。

  3. [Next] を選択します。コンソールウィザードは、ヘルスベースの検出のページに進みます。