インフラストラクチャレイヤーの脅威の検出ロジック - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インフラストラクチャレイヤーの脅威の検出ロジック

インフラストラクチャー層 (レイヤー 3 とレイヤー 4) で DDoS AWS 攻撃からターゲットリソースを保護するために使用される検出ロジックは、 AWS Shield Advancedリソースタイプとリソースが保護されているかどうかによって異なります。

CloudFront アマゾンとAmazon ルート 53 の検出

Route 53 CloudFront を使用してウェブアプリケーションを提供する場合、アプリケーションへのすべてのパケットは完全インラインの DDoS 軽減システムによって検査されるため、観測可能なレイテンシーは発生しません。 CloudFront ディストリビューションと Route 53 ホストゾーンに対する DDoS 攻撃はリアルタイムで軽減されます。これらの保護は、 AWS Shield Advancedを使用するかどうかにかかわらず適用されます。

DDoS CloudFront イベントの検出と軽減を最速で行うには、できる限りウェブアプリケーションのエントリポイントとして Route 53 を使用するというベストプラクティスに従ってください。

AWS Global Accelerator および地域サービスの検知

リソースレベルの検出は、クラシックロードバランサー、アプリケーションロードバランサー、Elastic IP アドレス (EIP) など、 AWS Global Accelerator AWS リージョンで起動される標準アクセラレーターとリソースを保護します。これらのリソースタイプは、緩和が必要な DDoS 攻撃の存在を示している可能性のあるトラフィックの増加をモニタリングします。毎分、各 AWS リソースへのトラフィックが評価されます。リソースへのトラフィックが上昇した場合は、リソースの容量を測定するために追加のチェックが実行されます。

Shield は次の標準チェックを実行します。

  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon EC2 インスタンスにアタッチされた EIP – Shield は保護されたリソースから容量を取得します。容量は、ターゲットのインスタンスタイプ、インスタンスサイズ、およびインスタンスが拡張ネットワークを使用しているかどうかなどの他の要因によって異なります。

  • Classic Load Balancer と Application Load Balancer – Shield はターゲットのロードバランサーノードから容量を取得します。

  • Network Load Balancer にアタッチされた EIP – Shield はターゲットのロードバランサーから容量を取得します。容量は、ターゲットのロードバランサーのグループ設定とは無関係です。

  • AWS Global Accelerator 標準アクセラレータ — Shield は、エンドポイントの設定に基づいて容量を取得します。

これらの評価は、ポートやプロトコルなど、ネットワークトラフィックの複数のディメンションにわたって行われます。ターゲットリソースの容量を超えると、Shield は DDoS 緩和策を実行します。Shield によって実施された緩和策は DDoS トラフィックを削減しますが、完全に排除することはできない場合があります。Shield は、既知の DDoS 攻撃ベクトルと一致するトラフィックディメンションでリソースの容量がわずかに超過した場合も、緩和策を講じることがあります。Shield は、この緩和策を有効期限 (TTL) を設けて実施し、攻撃が続く限り延長されます。

注記

Shield によって実施された緩和策は DDoS トラフィックを削減しますが、完全に排除することはできない場合があります。Shield AWS Network Firewall iptables にオンホストファイアウォールなどのソリューションを追加して、アプリケーションにとって有効でないトラフィックや正当なエンドユーザーが生成したトラフィックをアプリケーションが処理しないようにすることができます。

Shield Advanced の保護では、既存の Shield の検出アクティビティに次が追加されます。

  • [Lower detection thresholds] (検出しきい値を下げる) – Shield Advanced は、計算された容量の半分に緩和策を実施します。これにより、ゆっくり増加する攻撃をより迅速に緩和し、より曖昧なボリュームシグネチャを持つ攻撃を緩和できます。

  • [Intermittent attack protection] (断続的な攻撃からの保護) – Shield Advanced は、攻撃の頻度と期間に基づいて、指数関数的に増加する有効期限 (TTL) で緩和策を実施します。これにより、リソースが頻繁にターゲットとなり、短いバーストで攻撃が発生する際に、緩和策が長く維持されます。

  • [Health-based detection] (ヘルスベースの検出) – Route 53 ヘルスチェックを Shield Advanced で保護されたリソースに関連付けると、ヘルスチェックのステータスが検出ロジックで使用されます。検出されたイベント中、ヘルスチェックが正常である場合、Shield Advanced では、緩和策を行う前に、そのイベントが攻撃であるというより強力な確信が必要です。代わりにヘルスチェックが異常な場合は、信頼が確立される前でも Shield Advanced が緩和策を講じることがあります。この機能は、誤検出を回避するのに役立つとともに、アプリケーションに影響する攻撃への迅速な対応を提供します。Shield Advanced を使用したヘルスチェックの詳細については、「ヘルスチェックを使用したHealth ベースの検出」を参照してください。