Shield Advanced アプリケーションレイヤーの AWS WAF ウェブ ACL とレートベースのルール - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Shield Advanced アプリケーションレイヤーの AWS WAF ウェブ ACL とレートベースのルール

Shield Advanced でアプリケーションレイヤーリソースを保護するために、まず AWS WAF ウェブ ACL をリソースに関連付けます。AWS WAF はアプリケーションレイヤーリソースに転送される HTTP および HTTPS リクエストをモニタリングし、リクエストの特性に基づいてコンテンツへのアクセスを制御できるウェブアプリケーションファイアウォールです。リクエストの発信元、クエリ文字列とクッキーのコンテンツ、単一の IP アドレスからのリクエストのレートなどの要因に基づいて、リクエストをモニタリングおよび管理するウェブ ACL を設定できます。少なくとも、Shield Advanced 保護では、ウェブ ACL をレートベースのルールに関連付けて、各 IP アドレスのリクエストのレートを制限する必要があります。

関連付けられたウェブ ACL にレートベースのルールが定義されていない場合、Shield Advanced から少なくとも 1 つ定義するように求められます。レートベースのルールは、定義したしきい値を超えると、ソース IP からのトラフィックを自動的にブロックします。これらは、ウェブリクエストのフラッドからアプリケーションを保護するのに役立つとともに、DDoS 攻撃の可能性を示していることがあるトラフィックの急増についてアラートを出すことができます。

ウェブ ACL を設定すると、DDoS 攻撃が発生した場合、ウェブ ACL にルールを追加して管理することで緩和策を適用します。これは、直接行うことができるほか、Shield レスポンスチーム (SRT、Shield Response Team) のサポートを受けて、またはアプリケーションレイヤー DDoS 自動緩和を通じて自動的に行うこともできます。

レートベースのルールの仕組み

レートベースのルールを使用する場合、30 秒ごとに、AWS WAF は直近 5 分間のトラフィックを評価します。AWS WAF は、リクエストレートが許容レベルに低下するまで、しきい値を超えるソース IP アドレスからのリクエストをブロックします。レートベースルールを設定するときは、そのレートのしきい値を、任意の 5 分間の時間枠で任意の 1 つのソース IP から想定される通常のトラフィックレートよりも大きい値に設定します。

ウェブ ACL で複数のレートベースのルールを使用したい場合があります。例えば、高いしきい値を持つすべてのトラフィックについて 1 つのレートベースのルールを指定するとともに、ウェブアプリケーションの特定の部分と一致するように設定され、しきい値が低い追加のルールを 1 つ以上指定できます。例えば、ログインページに対する不正を緩和するために、しきい値を低くして URI /login.html に対する照合を行うことができます。

追加情報とガイダンスについては、「The three most important AWS WAF rate-based rules」(3 つの最も重要なレートベースのルール) のセキュリティに関するブログ記事を参照してください。

AWS WAF による設定オプションの拡張

Shield Advanced コンソールでは、レートベースのルールを追加し、必須の設定で構成できます。AWS WAF を通じてレートベースのルールを管理することで、追加の設定オプションを定義できます。例えば、転送された IP アドレス、クエリ文字列、およびラベルなどのキーで集約するようにルールを設定できます。また、ルールにスコープダウンステートメントを追加して、一部のリクエストを評価およびレート制限から除外することも可能です。詳細については、「レートベースのルールステートメント」を参照してください。ウェブリクエストのモニタリングおよび管理ルールの管理に AWS WAF を使用する方法については、「ウェブ ACL の作成」を参照してください。