Application Load Balancer の統合 - エラスティックロードバランシング
Amazon CloudFront + AWS WAFAWS Global AcceleratorAWS ConfigAWS WAF

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Application Load Balancer の統合

Application Load Balancer アーキテクチャを最適化するには、他のいくつかの AWS サービスと統合して、アプリケーションのパフォーマンス、セキュリティ、可用性を強化します。

Amazon CloudFront + AWS WAF

Amazon CloudFront は、 が使用するアプリケーションのパフォーマンス、可用性、セキュリティを向上させるのに役立つウェブサービスです AWS。CloudFront は、Application Load Balancer を使用するウェブアプリケーションの分散された単一のエントリポイントとして機能します。Application Load Balancer のリーチをグローバルに拡張することで、近くのエッジロケーションからユーザーを効率的に提供し、コンテンツ配信を最適化し、世界中のユーザーのレイテンシーを削減できます。これらのエッジロケーションでの自動コンテンツキャッシュにより、Application Load Balancer の負荷が大幅に軽減され、パフォーマンスとスケーラビリティが向上します。

Elastic Load Balancing コンソールで利用できるワンクリック統合は、推奨される AWS WAF セキュリティ保護を備えた CloudFront ディストリビューションを作成し、Application Load Balancer に関連付けます。 AWS WAF 保護は、ロードバランサーに到達する前に一般的なウェブエクスプロイトをブロックします。CloudFront ディストリビューションとそれに対応するセキュリティダッシュボードには、コンソールのロードバランサーの統合タブからアクセスできます。詳細については、「Amazon CloudFront デベロッパーガイド」の「CloudFront セキュリティダッシュボードでセキュリティ保護を管理する AWS WAF」および「aws.amazon.com/blogs の統合 CDN とセキュリティエクスペリエンスである CloudFront セキュリティダッシュボードの紹介」を参照してください。 Amazon CloudFront

セキュリティのベストプラクティスとして、CloudFront の AWSマネージドプレフィックスリストからのみインバウンドトラフィックを許可するようにインターネット向け Application Load Balancer のセキュリティグループを設定し、その他のインバウンドルールを削除します。詳細については、「Amazon CloudFront デベロッパーガイド」のCloudFront マネージドプレフィックスリストを使用する」、「リクエストにカスタム HTTP ヘッダーを追加するように CloudFront を設定する」、「特定のヘッダーを含むリクエストのみを転送するように Application Load Balancer を設定する」を参照してください。 CloudFront Amazon CloudFront

注記

CloudFront は、米国東部 (バージニア北部) us-east-1 リージョンでのみ ACM 証明書をサポートしています。Application Load Balancer に us-east-1 以外のリージョンに ACM 証明書で設定された HTTPS リスナーがある場合は、CloudFront オリジン接続を HTTPS から HTTP に変更するか、米国東部 (バージニア北部) リージョンに ACM 証明書をプロビジョニングして CloudFront ディストリビューションにアタッチする必要があります。

AWS Global Accelerator

アプリケーションの可用性、パフォーマンス、セキュリティを最適化するには、ロードバランサーのアクセラレーターを作成します。アクセラレーターは、 AWS グローバルネットワーク経由で、最も近いリージョンの固定エンドポイントとして機能する静的 IP アドレスにトラフィックをクライアントに送信します。 AWS Global Accelerator は、DDoS 攻撃によるアプリケーションのダウンタイムとレイテンシーを最小限に抑える Shield Standard によって保護されています。

詳細については、「 AWS Global Accelerator デベロッパーガイド」の「ロードバランサーの作成時にアクセラレーターを追加する」を参照してください。

AWS Config

ロードバランサーのモニタリングとコンプライアンスを最適化するために、 を設定します AWS Config。 は、 AWS アカウント内の AWS リソースの設定の詳細ビュー AWS Config を提供します。これには、リソースが相互にどのように関連しているか、および設定と関係が時間の経過とともにどのように変化するかを確認できるように、リソースが過去にどのように構成されているかが含まれます。 は、監査、コンプライアンス、トラブルシューティングを AWS Config 合理化します。

詳細については、「 AWS Config デベロッパーガイド」の「What Is AWS Config?」を参照してください。

AWS WAF

Application Load Balancer AWS WAF で を使用すると、ウェブアクセスコントロールリスト (ウェブ ACL) のルールに基づいてリクエストを許可またはブロックできます。

デフォルトでは、ロードバランサーが からレスポンスを取得できない場合 AWS WAF、HTTP 500 エラーが返され、リクエストは転送されません。接続できない場合でも、ロードバランサーがターゲットにリクエストを転送する必要がある場合は AWS WAF、 AWS WAF フェイルオープンを有効にできます。

事前定義されたウェブ ACL

AWS WAF 統合を有効にするときに、事前定義されたルールを使用して新しいウェブ ACL を自動的に作成することを選択できます。事前定義されたウェブ ACL には、最も一般的なセキュリティ脅威に対する保護を提供する 3 つの AWS マネージドルールが含まれています。

  • AWSManagedRulesAmazonIpReputationList - Amazon IP 評価リストルールグループは、通常、ボットやその他の脅威に関連付けられている IP アドレスをブロックします。詳細については「AWS WAF デベロッパーガイド」の「Amazon IP reputation list managed rule group」を参照してください。

  • AWSManagedRulesCommonRuleSet - コアルールセット (DCR) ルールグループは、OWTAK Top 10 で説明されている高リスクで一般的に発生する脆弱性の一部を含む、さまざまな脆弱性の悪用に対する保護を提供します。詳細については、「AWS WAF デベロッパーガイド」の「Core rule set (CRS) managed rule group」を参照してください。

  • AWSManagedRulesKnownBadInputsRuleSet - 既知の不正な入力ルールグループは、無効であることが判明しているリクエストパターンおよび脆弱性の悪用または発見に関連付けられているリクエストパターンをブロックします。詳細については、「AWS WAF デベロッパーガイド」の「Known bad inputs managed rule group」を参照してください。

詳細については、「 AWS WAF デベロッパーガイド」のACLs AWS WAF の使用」を参照してください。