AWS でのDDoS イベントへの対応
このページでは、AWS が DDoS 攻撃にどのように応答するかを説明し、さらに対応するためのオプションを提供します。
AWS は、ネットワークおよびトランスポートレイヤー (レイヤー 3 およびレイヤー 4) における分散型サービス拒否 (DDoS) 攻撃を自動的に緩和します。Shield Advanced を使用して Amazon EC2 インスタンスを保護する場合、攻撃を受けている最中に、Shield Advanced は、Amazon VPC ネットワーク ACL を AWS ネットワークの境界に自動的にデプロイします。これにより、Shield Advanced は、大規模な DDoS イベントに対する保護を提供できます。ネットワーク ACL の詳細については、「ネットワーク ACL」を参照してください。
アプリケーションレイヤー (レイヤー 7) DDoS 攻撃の場合、AWS は、検出、および CloudWatch アラームを通じた AWS Shield Advanced のお客様への通知を試みます。デフォルトでは、有効なユーザートラフィックが誤ってブロックされないように、緩和策は自動的に適用されません。
アプリケーションレイヤー (レイヤー 7) リソースでは、攻撃に対応するために次のオプションを使用できます。
-
[Provide your own mitigations] (独自の緩和策を提供する) – 独自に攻撃を調査して緩和することができます。詳細については、「アプリケーションレイヤー DDoS 攻撃の手動による緩和」を参照してください。
-
[Contact support] (サポートに問い合わせる) – Shield Advanced をご利用の場合は、AWS Support Center
に問い合わせて緩和に関するサポートを受けることができます。重大かつ緊急のケースは DDoS エキスパートに直接、ルーティングされます。詳細については、「アプリケーションレイヤー DDoS 攻撃を受けている最中のサポートセンターへの問い合わせ」を参照してください。
さらに、攻撃が発生する前に、次の緩和オプションをプロアクティブに有効にできます。
-
[Automatic mitigations on Amazon CloudFront distributions] (Amazon CloudFront ディストリビューションでの自動緩和) - このオプションを使用すると、Shield Advanced は、ウェブ ACL で緩和ルールを定義および管理します。アプリケーションレイヤーの自動緩和の詳細については、「Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 」を参照してください。
-
[Proactive engagement] (プロアクティブな関与) – いずれかのアプリケーションに対する大規模なアプリケーションレイヤーの攻撃を AWS Shield Advanced が検出すると、SRT はプロアクティブにユーザーに連絡できます。SRT は DDoS イベントをトリアージし、AWS WAF 緩和策を作成します。SRT はお客様に連絡し、お客様の同意を得て、AWS WAF ルールを適用することができます。このオプションの詳細については、「SRT が直接連絡するためのプロアクティブエンゲージメントの設定」を参照してください。
