ヘルスチェックを使用したHealth ベースの検出

ヘルスベースの検出を使用するように Shield Advanced を設定することで、攻撃の検出と緩和策の応答性と精度を改善できます。このオプションは、Route 53 ホストゾーンを除くすべてのリソースタイプで使用できます。

ヘルスベースの検出を設定するには、Route 53 でリソースのヘルスチェックを定義し、正常であると報告されていることを検証してから、Shield Advanced 保護と関連付けます。Route 53 ヘルスチェックの詳細については、「Amazon Route 53 デベロッパーガイド」の「Amazon Route 53 がリソースのヘルスをチェックする方法」および「ヘルスチェックの作成、更新、削除」を参照してください。

注記

Shield Response Team (SRT) のプロアクティブなエンゲージメントサポートには、ヘルスチェックが必要です。プロアクティブなエンゲージメントの詳細については、「プロアクティブな関与の設定」を参照してください。

ヘルスチェックでは、定義した要件に基づいて、リソースのヘルスを測定します。ヘルスチェックステータスは、Shield Advancedの検出メカニズムに重要な情報を提供し、特定のアプリケーションの現在の状態に対する感度を高めます。

Route 53 ホストゾーンを除くリソースタイプのために、ヘルスベースの検出を有効にできます。

• ネットワークおよびトランスポートレイヤー (レイヤー 3 /レイヤー 4) のリソース – ヘルスベースの検出により、ネットワークレイヤーおよびトランスポートレイヤーのイベント検出の精度と、Network Load Balancer、Elastic IP アドレス、および Global Accelerator 標準アクセラレーターのための緩和が改善されます。Shield Advanced を使用してこれらのリソースタイプを保護する場合、Shield Advanced は、トラフィックがアプリケーションの容量内である場合でも、小規模な攻撃の緩和と、攻撃のより迅速な緩和を行うことができます。

  ヘルスベースの検出を追加する場合、関連付けられたヘルスチェックが異常な期間中に、Shield Advanced を使用してより迅速に、低いしきい値で緩和策を行えます。

• アプリケーション層 (レイヤー 7) リソース — Health ベースの検出により、 CloudFrontディストリビューションとアプリケーションロードバランサーの Web リクエストフラッド検出の精度が向上します。Shield Advanced を使用してこれらのリソースタイプを保護する場合、リクエストの特性に基づいて、トラフィックパターンの大幅な変化を伴うトラフィック量の統計的に有意な偏差がある場合に、ウェブリクエストのフラッド検出アラートが送信されます。

  ヘルスベースの検出では、関連付けられた Route 53 ヘルスチェックが異常な期間中に、Shield Advanced は、アラートするためにより小さな偏差を必要とし、より迅速にイベントを報告します。逆に、関連付けられた Route 53 ヘルスチェックが正常である場合、Shield Advanced では、アラートするためにより大きな偏差が必要です。

目次

• Shield Advanced でヘルスチェックを使用するためのベストプラクティス
• ヘルスチェックで一般的に使用されるメトリクス
  • アプリケーションのヘルスをモニタリングするために使用されるメトリクス
  • 各リソースタイプの Amazon CloudWatch メトリクス
• ヘルスチェックの関連付けの管理
  • ヘルスチェックのリソースへの関連付け
  • リソースからのヘルスチェックの関連付けの解除
  • ヘルスチェックの関連付けのステータス
• ヘルスチェックの例
  • Amazon CloudFront ディストリビューション
  • ロードバランサー
  • Amazon EC2 Elastic IP アドレス (EIP)