Shield Advanced によるアプリケーションレイヤーのDDoS緩和の自動化 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
注意

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Shield Advanced によるアプリケーションレイヤーのDDoS緩和の自動化

このページでは、アプリケーションレイヤーの自動DDoS緩和のトピックを紹介し、関連する注意事項を一覧表示します。

攻撃の一部であるウェブリクエストをカウントまたはブロックすることで、保護されたアプリケーションレイヤーリソースに対するアプリケーションレイヤー (レイヤー 7) 攻撃を自動的に緩和して対応するよう Shield Advanced を設定できます。このオプションは、 AWS WAF ウェブACLと独自のレートベースのルールを使用して Shield Advanced を介して追加するアプリケーションレイヤー保護に追加されます。

リソースに対して自動緩和が有効になっている場合、Shield Advanced はリソースの関連付けられたウェブにルールグループを保持ACLし、リソースに代わって緩和ルールを管理します。ルールグループには、DDoS攻撃のソースとして知られている IP アドレスからのリクエストの量を追跡するレートベースのルールが含まれています。

さらに、Shield Advanced は現在のトラフィックパターンを過去のトラフィックベースラインと比較し、DDoS攻撃を示す可能性のある偏差を検出します。Shield Advanced は、ルールグループに追加のカスタム AWS WAF ルールを作成、評価、デプロイすることで、検出されたDDoS攻撃に応答します。

自動アプリケーションレイヤーDDoS緩和を使用するための注意事項

次のリストでは、Shield Advanced 自動アプリケーションレイヤーDDoS緩和の注意点と、それに応じて実行するステップについて説明します。

  • 自動アプリケーションレイヤーDDoS緩和は、最新バージョン AWS WAF (v2) を使用してACLs作成されたウェブでのみ機能します。

  • Shield Advanced には、アプリケーションの通常の履歴トラフィックのベースラインを確立する時間が必要です。これを活用して、攻撃トラフィックを検出して通常のトラフィックから分離し、攻撃トラフィックを軽減します。ベースラインを確立する時間は、保護されたアプリケーションリソースACLにウェブを関連付けてから 24 時間から 30 日の間です。トラフィックベースラインの詳細については、「」を参照してくださいShield Advanced によるアプリケーションレイヤーのイベント検出と緩和に影響する要因のリスト

  • 自動アプリケーションレイヤーDDoS緩和を有効にすると、150 個のウェブACLキャパシティユニット () を使用するルールグループACLがウェブに追加されますWCUs。これらは、ウェブ のWCU使用状況にWCUsカウントされますACL。詳細については、「Shield Advanced ルールグループによるアプリケーションレイヤーの保護」および「のウェブACLキャパシティーユニット (WCUs) について AWS WAF」を参照してください。

  • Shield Advanced ルールグループは AWS WAF メトリクスを生成しますが、表示することはできません。これは、 AWS マネージドルールルールルールグループなど、ウェブで使用しているACLが所有していない他のルールグループと同じです。 AWS WAF メトリクスの詳細については、「」を参照してくださいAWS WAF メトリクスとディメンション。この Shield Advanced 保護オプションの詳細については、「」を参照してくださいShield Advanced によるアプリケーションレイヤーのDDoS緩和の自動化

  • 複数のリソースACLsを保護するウェブの場合、自動緩和は、保護されたリソースに悪影響を与えないカスタム緩和のみをデプロイします。

  • DDoS 攻撃の開始から Shield Advanced がカスタム自動緩和ルールを配置するまでの時間は、イベントごとに異なります。一部のDDoS攻撃は、カスタムルールがデプロイされる前に終了することがあります。他の攻撃は、緩和策が既に実施されている場合に発生する可能性があるため、これらのルールによってイベントの開始時から緩和される可能性があります。さらに、ウェブルールグループACLと Shield Advanced ルールグループのレートベースのルールは、潜在的なイベントとして検出される前に攻撃トラフィックを軽減する可能性があります。

  • Amazon などのコンテンツ配信ネットワーク (CDN) を介してトラフィックを受信する Application Load Balancer の場合 CloudFront、それらの Application Load Balancer リソースの Shield Advanced のアプリケーションレイヤー自動緩和機能が減少します。Shield Advanced は、クライアントトラフィック属性を使用して、攻撃トラフィックを通常のトラフィックからアプリケーションに識別および分離し、元のクライアントトラフィック属性を保持または転送しないCDNs場合があります。を使用する場合は CloudFront、 CloudFront ディストリビューションで自動緩和を有効にすることをお勧めします。

  • 自動アプリケーションレイヤーDDoS緩和は、保護グループと相互作用しません。保護グループに含まれるリソースのために自動緩和を有効にできますが、Shield Advanced は、保護グループの検出結果に基づいて攻撃の緩和策を自動的に適用しません。Shield Advanced は、個々のリソースのために攻撃の自動緩和を適用します。

目次