ボットを管理するための静的コントロール - AWS 規範ガイダンス
許可リストIP ベースのコントロール組み込みチェック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ボットを管理するための静的コントロール

アクションを実行するために、静的コントロールは IP アドレスやヘッダーなど、HTTP(S) リクエストからの静的情報を評価します。これらのコントロールは、高度度の低い悪質なボットアクティビティや、検証と管理が必要な予想される有益なボットトラフィックに役立ちます。静的コントロール手法には、許可リスト、IP ベースのコントロール、組み込みチェックなどがあります。

許可リスト

許可リストは、既存のボット緩和コントロールを通じて識別されたフレンドリトラフィックを許可するコントロールです。これを実現するには、さまざまな方法があります。最も簡単なのは、一連の IP アドレスまたは同様の一致条件に一致するルールを使用することです。リクエストがAllowアクションに設定されたルールと一致する場合、後続のルールでは評価されません。場合によっては、特定のルールのみが動作しないようにする必要があります。つまり、1 つのルールのリストを許可する必要がありますが、すべてのルールには許可しません。これは、ルールの誤検出を処理するための一般的なシナリオです。許可リストは広範なルールと見なされます。偽陰性の可能性を減らすために、パスやヘッダーの一致など、より詳細な別のオプションとペアにすることをお勧めします。

IP ベースのコントロール

単一 IP アドレスブロック

ボットの影響を軽減するために一般的に使用されるツールは、単一のリクエスタからのリクエストを制限することです。最も簡単な例は、トラフィックの送信元 IP アドレスのリクエストが悪意のあるものであるか、ボリュームが多い場合、そのトラフィックの送信元 IP アドレスをブロックすることです。これは AWS WAF 、IP セット一致ルールを使用して IP ベースのブロックを実装します。これらのルールは IP アドレスに一致し、Block、、Challengeまたは のアクションを適用しますCAPTCHA。コンテンツ配信ネットワーク (CDN)、ウェブアプリケーションファイアウォール、またはアプリケーションとサービスログを確認することで、IP アドレスから受信するリクエストが多すぎるタイミングを判断できます。ただし、ほとんどの場合、このコントロールは自動化なしでは実用的ではありません。

の IP アドレスブロックリストの自動化 AWS WAF は、通常、レートベースのルールで行われます。詳細については、このガイドの「レートベースのルール」を参照してください。ソリューションのセキュリティオートメーション AWS WAFを実装することもできます。このソリューションは、ブロックする IP アドレスのリストを自動的に更新し、 AWS WAF ルールはそれらの IP アドレスに一致するリクエストを拒否します。

ボット攻撃を認識する 1 つの方法は、同じ IP アドレスからの多数のリクエストが少数のウェブページに集中している場合です。これは、ボットが料金スクレイプしているか、高い割合で失敗したログインを繰り返し試行していることを示します。このパターンをすぐに認識するオートメーションを作成できます。自動化により IP アドレスがブロックされるため、攻撃をすばやく特定して軽減することで、攻撃の有効性が低下します。特定の IP アドレスをブロックすることは、攻撃者が攻撃を開始するための大量の IP アドレスのコレクションを持っている場合、または攻撃動作を認識して通常のトラフィックから分離するのが難しい場合、あまり効果的ではありません。 

IP アドレスの評価

IP 評価サービスは、IP アドレスの信頼性を評価するのに役立つインテリジェンスを提供します。このインテリジェンスは、通常、その IP アドレスからの過去のアクティビティから IP 関連情報を集約することによって導出されます。以前のアクティビティは、IP アドレスが悪意のあるリクエストを生成する可能性を示すのに役立ちます。データは、IP アドレスの動作を追跡するマネージドリストに追加されます。

匿名 IP アドレスは、IP アドレスの評価に関する特殊なケースです。送信元 IP アドレスは、クラウドベースの仮想マシンなどの簡単に取得できる IP アドレスの既知の送信元、または既知の VPN プロバイダーや Tor ノードなどのプロキシから送信されます。 AWS WAF Amazon IP 評価リスト匿名 IP リストマネージドルールグループは、Amazon の内部脅威インテリジェンスを使用して、これらの IP アドレスを識別します。

これらのマネージドリストによって提供されるインテリジェンスは、これらのソースから特定されたアクティビティに対処するのに役立ちます。このインテリジェンスに基づいて、トラフィックを直接ブロックするルールや、リクエストの数を制限するルール (レートベースのルールなど) を作成できます。このインテリジェンスを使用して、 COUNT モードでルールを使用してトラフィックのソースを評価することもできます。これにより、一致基準が調べられ、カスタムルールの作成に使用できるラベルが適用されます。

レートベースのルール

レートベースのルールは、特定のシナリオにとって貴重なツールです。例えば、レートベースのルールは、機密性の高いユニフォームリソース識別子 (URIs) のユーザーと比較して、ボットトラフィックが大量の に達した場合や、トラフィックボリュームが通常のオペレーションに影響を与え始めた場合に有効です。レート制限は、リクエストを管理可能なレベルで維持し、アクセスを制限および制御できます。 は、レートベースのルールステートメント を使用して、ウェブアクセスコントロールリスト (ウェブ ACL) にレート制限ルールを実装 AWS WAF できます。 https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.htmlレートベースのルールを使用する場合の推奨アプローチは、サイト全体を対象とする一括ルール、URI 固有のルール、および IP の評価レートベースのルールを含めることです。IP 評価レートベースのルールは、IP アドレス評価のインテリジェンスとレート制限機能を組み合わせます。

サイト全体では、一括 IP 評価レートベースのルールによって上限が作成され、少数の IPs。レート制限は、ログインページやアカウント作成ページなど、コストや影響が大きい URIs場合に特に推奨されます。

レート制限ルールは、コスト効率の高い第 1 防御層を提供できます。より高度なルールを使用して、機密性の高い URIs を保護できます。URI 固有のレートベースのルールは、重要なページや、データベースアクセスなどのバックエンドに影響する APIs への影響を制限できます。このガイドで後述する特定の URIs高度な緩和策では、多くの場合、追加コストが発生します。これらの URI 固有のレートベースのルールは、コストの制御に役立ちます。一般的に推奨されるレートベースのルールの詳細については、 AWS セキュリティブログの「最も重要な 3 つの AWS WAF レートベースのルール」を参照してください。状況によっては、レートベースのルールによって評価されるリクエストのタイプを制限すると便利です。スコープダウンステートメントを使用して、送信元 IP アドレスの地理的領域によってレートベースのルールを制限できます。

AWS WAF は、集約キー を使用してレートベースのルールの高度な機能を提供します。この機能を使用すると、ソース IP アドレス以外のさまざまな集約キーとキーの組み合わせを使用するようにレートベースのルールを設定できます。例えば、単一の組み合わせとして、転送された IP アドレス、HTTP メソッド、およびクエリ引数に基づいてリクエストを集約できます。これにより、高度なボリューメトリックトラフィックの軽減のために、よりきめ細かなルールを設定できます。

組み込みチェック

組み込みチェックは、システムまたはプロセス内のさまざまなタイプの内部または固有の検証または検証です。ボット制御の場合、 AWS WAF は、リクエストで送信された情報がシステムシグナルと一致することを確認することで、組み込みチェックを実行します。例えば、逆引き DNS ルックアップやその他のシステム検証を実行します。SEO 関連のリクエストなど、一部の自動リクエストが必要です。許可リストは、期待される適切なボットを許可する方法です。ただし、悪意のあるボットが優れたボットをエミュレートすることもあり、それらを分離するのは難しい場合があります。 は、マネージド AWS WAF Bot Control ルールグループ を通じてこれを実現する方法 AWS WAF を提供します。このグループのルールは、自己識別ボットが誰であるかを検証します。 は、リクエスト AWS WAF の詳細をそのボットの既知のパターンと照合し、逆引き DNS ルックアップやその他の目的検証も実行します。