ボット制御戦略のコストの最適化

ウェブトラフィックの性質は動的です。つまり、脅威の軽減に使用されるテクノロジーとサービスは、時間の経過とともに変化し、調整される可能性があるということです。これは、ボットコントロール戦略とその戦略に含まれるコントロールを検討するときに重要です。時間の経過に伴う最適化は覚えておくべき主な原則であり、 AWS Well-Architected フレームワークのコスト最適化の柱から来ています。

AWS WAF ウェブ ACLs は、特に新機能がリリースされた場合や、新しい脅威を軽減しようとしている場合に動的になる可能性があります。コストに目を向けるには、 AWS WAF サービスのコストディメンションと、それぞれが最終支出にどのように影響するかを理解する必要があります。主な運転コストは、サービスによって評価されるリクエストの数です。Bot Control とアカウント乗っ取り防止 (ATP) マネージドルールグループを使用する場合、または CAPTCHA やチャレンジ などの高度なアクションを使用する場合は、追加料金が発生します。

特殊なボットコントロールにはプレミアムコストがかかるため、主なコスト最適化の目標は、これらの高度なコントロールによって検査されるリクエストの数を減らすことです。適用可能な手法には、価値の高いコンテンツの分離、低コストの対策の適用、評価対象範囲の絞り込み、ボット保護と他のタイプのコントロールの組み合わせなどがあります。コストモニタリング手法は、組織全体の可視性を高めます。

動的コンテンツと静的コンテンツの分離

コスト削減手法の 1 つは、静的コンテンツを動的アプリケーションから分離することです。一般的なウェブアプリケーションへのリクエストの大部分は、静的オブジェクトへのリクエストです。アプリケーションサーバーの負荷を軽減するための一般的な方法は、静的コンテンツを などの独自の URL に移動することですstatic.example.com。これは、静的コンテンツに最適化されたキャッシュ設定で一意のコンテンツ配信ディストリビューションを作成することで実現されることがよくあります。この手法は、静的コンテンツがサイトやアプリケーションで一般的にターゲットにされていない場合にボットの制御コストを削減するのにも役立ちます。静的コンテンツを動的アプリケーションから分離することで、高度なボット制御をより正確に適用できます。

低コストのルールを最初に適用する

もう 1 つの手法は、高度なコントロールを使用する前に不要なトラフィックを除外する低コストのベースラインルールを適用することです。これは、一般的に、ボットコントロールの緩和策を防御の最後のレイヤーとして配置し、前述のコントロールを使用して不要なトラフィックを除外することを意味します。この図形アプローチについては、このガイドボット制御のテクニックで前述しました。主な目的は、これらの低コストオプションを使用して不要なトラフィックを停止し、高度なコストのかかる緩和手法によって処理されるリクエストの数を減らすことです。

評価対象範囲のスコープダウン

AWS WAFスコープダウンステートメントは、高度なルールによって検査されるリクエストの数を減らすための強力な手法を提供します。静的コンテンツを独自の URL に分離できない場合、スコープダウンステートメントは、高度な緩和手法を必要としないリクエストを除外するもう 1 つの方法です。これは、特定のアプリケーションパス、HTTP メソッド (POST など）、または同様の組み合わせを定義することで実行できます。

ボット保護と他のコントロールを組み合わせる

不要なボットトラフィックに加えて、複数の脅威からアプリケーションを保護する場合は、コスト管理に関する追加の考慮事項を検討する必要があります。例えば、分散型サービス拒否 (DDoS) 攻撃やアカウント乗っ取りから保護するには、コストに影響を与える可能性のある追加の設定が必要です。Shield Advanced は、DDoS 攻撃からアプリケーションを保護するために推奨されます。特に、アプリケーションレイヤーの緩和策はリクエストのフラッドに自動的に対処できるため、評価順序でルールを AWS WAF 先に配置するときに Bot Control ルールグループによって処理される可能性のあるリクエストの数を減らすことができます。Shield Advanced には追加の利点があります。Shield Advanced で保護されたリソースには、標準の マネージド AWS WAF ルールとカスタムルールに追加コストはかかりません。Bot Control などのインテリジェントな脅威軽減ルールグループでは、Shield Advanced で保護されたリソースに対しても追加コストが発生することに注意してください。

アカウント乗っ取り防止を必要とするアプリケーションは、 AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループを使用できます。ATP ルールグループのリクエストごとの検査コストは、Bot Control ルールグループよりも高いです。コストが高いほど、ATP ルールグループを可能な限り正確に適用することが重要になります。Bot Control ルールグループを ATP と組み合わせて使用すると、この目標を達成できます。Bot Control ルールグループは、ボットリクエストを除外し、ATP によって検査されるリクエストの数を減らすために、ウェブ ACL の ATP の前に配置する必要があります。

継続的な最適化のために、最も重要なアクティビティは Bot Control ルールグループに関連付けられたCloudWatchメトリクスのモニタリングです。長期的な目標は、Bot Control ルールグループによって評価されるリクエストの数を、不要なボットアクティビティから保護するために必要なリソースをターゲットとするリクエストのみに減らすことです。 CloudWatch ダッシュボードを構築すると、 AWS WAF コストや使用状況など、アプリケーションの最も重要なメトリクスが可視化されます。 

コストのモニタリング

AWS Cost Explorer は、コストと使用状況を表示および分析するために使用できるツールです。Cost Explorer は、発生した AWS コストを含む AWS WAF コストの分析を容易にします。このツールは、過去 12 か月間のコスト情報を提供し、今後 12 か月間の将来の支出を予測します。

AWS コスト異常検出は、コストのモニタリングに役立つもう 1 つの AWS WAF コスト管理コントロールツールです。高度な ML テクノロジーを使用して、異常な支出と根本原因を特定します。これにより、コストが予期せず増加した場合に迅速にアクションを実行したり、アラートを受信したりできます。特定のコストしきい値に達したときにアラートを受け取るために、AWS Budgets はその追跡およびモニタリング機能を提供します。