翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でのインテリジェントな脅威の軽減に関するベストプラクティス AWS WAF
インテリジェントな脅威の軽減機能の最も効果的でコスト効率性に優れた実装については、このセクションのベストプラクティスに従ってください。
-
JavaScript とモバイルアプリケーションの統合を実装する SDKs — アプリケーション統合を実装してACFP、、ATP、または Bot Control 機能の完全なセットを可能な限り最も効果的な方法で有効にします。マネージドルールグループは、 によって提供されるトークンを使用してSDKs、正当なクライアントトラフィックをセッションレベルで不要なトラフィックから分離します。アプリケーション統合SDKsにより、これらのトークンが常に利用可能になります。詳細については、以下を参照してください。
統合を使用してクライアントにチャレンジを実装し、 の場合はCAPTCHAパズルをエンドユーザーに提示する方法 JavaScriptをカスタマイズします。詳細については、「でのクライアントアプリケーション統合の使用 AWS WAF」を参照してください。
を使用してCAPTCHAパズルをカスタマイズし、 JavaScript APICAPTCHA ウェブ 内の任意の場所で ルールアクションを実行するにはACL、 の処理に関するガイダンスに従ってください。 AWS WAF CAPTCHA の クライアントでの レスポンスからのCAPTCHAレスポンスの処理 AWS WAF。このガイダンスは、 を使用するすべてのルールに適用されます。CAPTCHA ACFP マネージドルールグループ内のアクションや Bot Control マネージドルールグループのターゲットを絞った保護レベルを含む アクション。
-
ACFP、、ATPおよび Bot Control ルールグループに送信するリクエストを制限する – インテリジェントな脅威の軽減の使用には追加料金が発生します。 AWS マネージドルールのルールグループ。ACFP ルールグループは、指定したアカウント登録エンドポイントと作成エンドポイントへのリクエストを検査します。ATP ルールグループは、指定したログインエンドポイントへのリクエストを検査します。Bot Control ルールグループは、ウェブACL評価でそれに到達したすべてのリクエストを検査します。
これらのルールグループの使用を減らすため、以下のアプローチを検討してください。
-
マネージドルールグループステートメント内のスコープダウンステートメントを使用して、検査からリクエストを除外します。これは、ネスト可能なステートメントならどれでも実行できます。詳細については、でのスコープダウンステートメントの使用 AWS WAF を参照してください。
-
ルールグループの前にルールを追加することで、検査からリクエストを除外します。スコープダウンステートメントで使用できないルール、およびラベル付けの後にラベルの照合が行われるような複雑な状況については、ルールグループの前に実行されるルールを追加する必要があるかもしれません。詳細については、「でのスコープダウンステートメントの使用 AWS WAF」および「でのルールステートメントの使用 AWS WAF」を参照してください。
-
低料金のルールを実行してからルールグループを実行します。他の標準がある場合 AWS WAF 何らかの理由でリクエストをブロックする ルールは、これらの有料ルールグループの前に実行します。ルールとルール管理の詳細については、「でのルールステートメントの使用 AWS WAF」を参照してください。
-
インテリジェントな脅威軽減マネージドルールグループを複数使用している場合は、Bot Control、、 の順に実行してコストを抑えますATPACFP。
料金の詳細については、「」を参照してください。 AWS WAF 料金
-
-
通常のウェブトラフィック中に Bot Control ルールグループのターゲットを絞った保護レベルを有効にする – ターゲットを絞った保護レベルのルールの一部では、通常のトラフィックパターンのベースラインを確立してからでないと、不規則なトラフィックパターンや悪意のあるトラフィックパターンに対する認識と対応が行えません。例えば、
TGT_ML_*ルールのウォームアップには最大 24 時間かかります。攻撃を受けていないときにこれらの保護を追加し、ルールが攻撃に対して適切に対応することを期待する前に、トラフィックパターンのベースラインを確立するための猶予時間を与えます。攻撃中にこれらのルールを追加した場合、攻撃が収まった後、ベースラインを確立するまでにかかる時間は通常の 2 倍から 3 倍になります。これは、攻撃トラフィックによって歪みが生じるためです。ルールとルールのウォームアップに必要な時間に関する詳細については、「ルールの一覧」を参照してください。
-
分散型サービス拒否 (DDoS) 保護には、Shield Advanced アプリケーションレイヤーの自動DDoS緩和を使用します – インテリジェントな脅威の軽減ルールグループはDDoS保護を提供しません。ACFP は、アプリケーションのサインアップページへの不正なアカウント作成の試みから保護します。ATP は、ログインページへのアカウント乗っ取りの試みから保護します。Bot Control は、トークンとクライアントセッションに対する動的なレート制限を使用して、人間のようなアクセスパターンを実施することに重点を置いています。
アプリケーションレイヤーの自動DDoS緩和を有効にして Shield Advanced を使用すると、Shield Advanced はカスタム を作成、評価、デプロイして、検出されたDDoS攻撃に自動的に対応します。 AWS WAF ユーザーに代わって を緩和します。Shield Advanced の詳細については、「AWS Shield Advanced 概要」および「AWS Shield Advanced および によるアプリケーションレイヤー (レイヤー 7) の保護 AWS WAF」を参照してください。
-
トークン処理の調整と設定 — 最適なユーザーエクスペリエンスを実現するために、ウェブACLのトークン処理を調整します。
-
運用コストを削減し、エンドユーザーエクスペリエンスを改善するには、トークン管理のイミュニティ時間をセキュリティ要件が許容する最大時間に調整します。これにより、CAPTCHAパズルやサイレントチャレンジの使用が最小限に抑えられます。詳細については、でのタイムスタンプの有効期限とトークンのイミュニティ時間の設定 AWS WAF を参照してください。
-
保護されたアプリケーション間のトークン共有を有効にするには、ウェブ のトークンドメインリストを設定しますACL。詳細については、でのトークンドメインとドメインリストの指定 AWS WAF を参照してください。
-
-
任意のホスト仕様を持つリクエストを拒否する – ウェブリクエストの
Hostヘッダーがターゲットリソースに一致することを必須とするように保護対象リソースを設定します。ホストについて、1 つの値、または特定の値セット (myExampleHost.comおよびwww.myExampleHost.comなど) を受け入れることはできますが、任意の値は受け入れないでください。 -
CloudFront ディストリビューションのオリジンである Application Load Balancer の場合は、 CloudFront と を設定します。 AWS WAF 適切なトークン処理のための - ウェブを Application Load Balancer ACLに関連付け、Application Load Balancer を CloudFront ディストリビューションのオリジンとしてデプロイする場合は、「」を参照してください CloudFront オリジンである Application Load Balancer に必要な設定。
-
デプロイ前にテストおよびチューニングする – ウェブ に変更を実装する前にACL、このガイドのテストおよびチューニング手順に従って、期待どおりの動作が得られていることを確認します。これらの有料機能を使用する場合は特に重要です。一般的なガイダンスについては、「のテストとチューニング AWS WAF 保護」を参照してください。有料マネージドルールグループ固有の情報については、「ACFP のテストとデプロイ」、「ATP のテストとデプロイ」、「AWS WAF Bot Control のテストとデプロイ」を参照してください。
