自動緩和機能を使用する際の注意事項

次のリストでは、Shield Advanced アプリケーションレイヤー DDoS 自動緩和の注意事項と、対応が必要となる可能性があるステップについて説明します。

• アプリケーションレイヤーの自動DDoS対策は、最新バージョンの AWS WAF (v2) を使用して作成されたウェブ ACL でのみ機能します。

• Shield Advancedは、アプリケーションの通常の過去のトラフィックのベースラインを確立するのに時間がかかります。これを活用して攻撃トラフィックを通常のトラフィックから検出して分離し、攻撃トラフィックを軽減します。ベースラインを確立するまでの時間は、ウェブ ACL を保護対象アプリケーションリソースに関連付けた時点から 24 時間から 30 日の間です。トラフィックベースラインの詳細については、を参照してください。検出と緩和

• 自動アプリケーション層の DDoS 軽減を有効にすると、150 のウェブ ACL キャパシティユニット (WCU) を使用するルールグループがウェブ ACL に追加されます。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。詳細については、「Shield Advanced ルールグループ」および「AWS WAF ウェブ ACL キャパシティーユニット (WCUs)」を参照してください。

• Shield AWS WAF アドバンスドルールグループはメトリクスを生成しますが、表示することはできません。これは、 AWS マネージドルールルールグループなど、ウェブ ACL で使用しているが所有していない他のルールグループと同じです。 AWS WAF メトリクスの詳細については、「」を参照してくださいAWS WAF メトリクスとディメンション。この Shield アドバンスドプロテクションオプションの詳細については、を参照してくださいShield Advanced アプリケーションレイヤー DDoS 自動緩和。

• 複数のリソースを保護するウェブ ACL の場合、自動緩和機能では、保護対象リソースのいずれにも悪影響を及ぼさないカスタム緩和策のみが展開されます。

• DDoS 攻撃の開始から Shield Advanced がカスタム自動緩和ルールを実行するまでの時間は、各イベントによって異なります。一部の DDoS 攻撃は、カスタムルールがデプロイされる前に終了することがあります。他の攻撃は、緩和策が既に実施されている場合に発生する可能性があるため、これらのルールによってイベントの開始時から緩和される可能性があります。さらに、ウェブ ACL と Shield Advanced ルールグループのレートベースのルールは、攻撃トラフィックが起こり得るイベントとして検出される前に軽減する可能性があります。

• Amazon CloudFront などのコンテンツ配信ネットワーク (CDN) を介してトラフィックを受信するApplication Load Balancer の場合、それらのアプリケーションロードバランサーリソースに対する Shield Advanced のアプリケーション層自動軽減機能は低下します。Shield Advanced は、クライアントトラフィック属性を使用して、アプリケーションへの通常のトラフィックから攻撃トラフィックを識別および分離します。CDN は、元のクライアントトラフィック属性を保持または転送しない場合があります。を使用する場合は CloudFront、ディストリビューションの自動緩和機能を有効にすることをお勧めします。 CloudFront

• アプリケーションレイヤー DDoS 自動緩和は、保護グループとインタラクションしません。保護グループに含まれるリソースのために自動緩和を有効にできますが、Shield Advanced は、保護グループの検出結果に基づいて攻撃の緩和策を自動的に適用しません。Shield Advanced は、個々のリソースのために攻撃の自動緩和を適用します。