Shield Advanced が自動緩和を管理する方法 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

Shield Advanced が自動緩和を管理する方法

このセクションのトピックでは、Shield Advanced がアプリケーションレイヤー DDoS 自動緩和の設定変更をどのように処理するか、および自動緩和が有効になっている場合の DDoS 攻撃の処理方法について説明します。

Shield Advanced が自動緩和機能で DDoS 攻撃に対応する方法

保護対象リソースで自動軽減機能を有効にすると、Shield Advanced ルールグループのレートベースのルール ShieldKnownOffenderIPRateBasedRule は、既知の DDoS ソースからのトラフィックの量の増加に自動的に応答します。このレート制限は迅速に適用され、攻撃に対する最前線の防御として機能します。

Shield Advanced が攻撃を検出すると、次の処理が実行されます。

  1. アプリケーションへの通常のトラフィックから攻撃トラフィックを分離する攻撃シグネチャの特定を試みます。目標は、攻撃トラフィックにのみ影響し、アプリケーションへの通常のトラフィックに影響を与えない、質の高い DDoS 緩和ルールを作成することです。

  2. 識別された攻撃シグネチャを、攻撃対象のリソースおよび同じウェブ ACL に関連付けられている他のリソースについての過去のトラフィックパターンに照らして評価します。Shield Advanced は、イベントに対応してルールをデプロイする前にこれを実行します。

    Shield Advanced は、評価結果に応じて、次のいずれかを実行します。

    • Shield Advanced は、攻撃シグネチャが DDoS 攻撃に関与するトラフィックのみを隔離すると判断した場合、ウェブ ACL の Shield Advanced 緩和ルールグループの AWS WAF ルールにシグネチャを実装します。Shield Advanced は、これらのルールに、リソースの自動緩和のために設定したアクション設定 (Count または Block) を提供します。

    • その他の場合、Shield Advanced は緩和策を講じません。

攻撃全体を通じて、Shield Advanced は、基本的な Shield Advanced アプリケーションレイヤー保護と同じ通知を送信し、同じイベント情報を提供します。Shield Advanced イベントコンソールで、イベントと DDoS 攻撃に関する情報、および攻撃に対する Shield Advanced の緩和策に関する情報を確認できます。詳細については、「Shield Advanced による DDoS イベントの可視性」を参照してください。

Block ルールアクションを使用するように自動緩和を設定し、Shield Advanced がデプロイした緩和ルールからの誤検出が発生した場合は、ルールアクションを Count に変更できます。これを行う方法については、「アプリケーションレイヤー DDoS 自動緩和に使用されるアクションの変更」を参照してください。

Shield Advanced がルールアクション設定を管理する方法

自動緩和策のルールアクションは Block または Count に設定できます。

保護されたリソースの自動緩和ルールアクション設定を変更すると、Shield Advanced は、リソースのすべてのルール設定を更新します。Sheild Advanced ルールグループのリソースに現在適用されているルールが更新され、新しいルールの作成時に新しいアクション設定が使用されます。

同じウェブ ACL を使用するリソースに対して異なるアクションを指定すると、Shield Advanced はルールグループのレートベースのルール ShieldKnownOffenderIPRateBasedRule の Block アクション設定を使用します。Shield Advanced は、特定の保護対象リソースに代わってルールグループ内の他のルールを作成および管理し、リソースに指定したアクション設定を使用します。ウェブ ACL 内の Shield Advanced ルールグループのすべてのルールは、関連するすべてのリソースのウェブトラフィックに適用されます。

アクション設定を変更すると、反映されるまでに数秒かかる場合があります。この間、ルールグループが使用されている場所によっては古い設定が表示され、他の場所では新しい設定が表示される場合があります。

自動緩和設定のルールアクション設定は、コンソールのイベントページ、およびアプリケーションレイヤー設定ページで変更できます。イベントページの詳細については、「AWS でのDDoS イベントへの対応」を参照してください。設定ページについては、「アプリケーションレイヤー DDoS 保護を設定する」を参照してください。

攻撃が沈静化した場合に Shield Advanced が緩和を管理する方法

Shield Advanced は、特定の攻撃に対してデプロイされた緩和ルールが不要になったと判断すると、そのルールを Shield Advanced 緩和ルールグループから削除します。

緩和ルールの削除は、必ずしも攻撃の終了と一致しません。Shield Advanced は、保護されたリソースで検出された攻撃のパターンをモニタリングします。攻撃の最初の発生に対してデプロイしたルールを所定の位置に保持することで、特定のシグネチャを使用した攻撃の再発を先回りして防御できる場合があります。必要に応じて、Shield Advanced はルールを保持する時間枠を拡大します。このようにして、Shield Advanced は、保護されたリソースに影響が及ぶ前に、特定のシグネチャで繰り返される攻撃を緩和する場合があります。

Shield Advanced が、DDoS 攻撃のソースであることが判明している IP アドレスからのリクエストの量を制限するレートベースのルール ShieldKnownOffenderIPRateBasedRule を削除することはありません。

自動緩和を無効にした場合の実行内容

Shield Advanced は、リソースのための自動緩和を無効にすると、次の処理を実行します。

  • [Stops automatically responding to DDoS attacks] (DDoS 攻撃への自動対応を停止) – Shield Advanced は、リソースのための自動応答アクティビティを中止します。

  • [Removes unneeded rules from the Shield Advanced rule group] (Shield Advanced ルールグループから不要なルールを削除) – Shield Advanced が保護されたリソースのためにマネージドルールグループ内のルールを維持している場合、それらを削除します。

  • [Removes the Shield Advanced rule group, if it's no longer in use] (Shield Advanced ルールグループが使用されなくなった場合は削除) – リソースに関連付けたウェブ ACL が、自動緩和が有効になっている他のリソースに関連付けられていない場合、Shield Advanced は、そのルールグループルールをウェブ ACL から削除します。