AWS Shield Advanced ウェブアプリケーションの緩和ロジック

AWS Shield Advanced は、ウェブアプリケーションレイヤーの攻撃を軽減 AWS WAF するために を使用します。 AWS WAF は、追加コストなしで Shield Advanced に含まれています。

アプリケーションレイヤー標準保護

Amazon CloudFront ディストリビューションまたは Application Load Balancer を Shield Advanced で保護する場合、Shield Advanced を使用して AWS WAF 、ウェブを保護されたリソースACLにまだ関連付けていない場合は、ウェブを関連付けることができます。ウェブ をまだ設定していない場合はACL、Shield Advanced コンソールウィザードを使用して作成し、レートベースのルールを追加できます。レートベースのルールは、各 IP アドレスの 5 分間の時間枠あたりの要求数を制限し、ウェブアプリケーション層のリクエストのフラッドに対する基本的な保護を提供します。レートは 10 から設定できます。詳細については、「AWS WAF ウェブACLsと Shield Advanced によるアプリケーションレイヤーの保護」を参照してください。

AWS WAF サービスを使用してウェブ を管理することもできますACL。を通じて AWS WAF、ウェブACL設定を拡張して、特定のウェブリクエストコンポーネントで文字列の一致やパターンを検査したり、カスタムリクエストとレスポンスの処理を追加したり、リクエストオリジンのジオロケーションと照合したりできます。 AWS WAF ルールの詳細については、「」を参照してください使用 AWS WAF ルール。

アプリケーションレイヤーの自動緩和

保護を強化するには、Shield Advanced アプリケーションレイヤーの自動緩和を有効にします。このオプションを使用すると、Shield Advanced は既知のDDoSソースからのリクエストの AWS WAF レート制限ルールを維持し、検出されたDDoS攻撃のカスタム緩和を提供します。

Shield Advanced は、保護されたリソースに対する攻撃を検出すると、アプリケーションへの通常のトラフィックから攻撃トラフィックを分離する攻撃シグネチャの特定を試みます。Shield Advanced は、攻撃対象のリソースと、同じウェブ に関連付けられている他のリソースの履歴トラフィックパターンに対して、識別された攻撃署名を評価しますACL。

Shield Advanced が、攻撃署名がDDoS攻撃に関与しているトラフィックのみを分離すると判断した場合、関連するウェブ 内の AWS WAF ルールに署名を実装しますACL。Shield Advanced に、一致したトラフィックのみをカウントする、またはブロックする緩和を配置するように指示できます。この設定はいつでも変更できます。Shield Advanced は、緩和ルールが不要になったと判断した場合、ウェブ から削除しますACL。アプリケーションレイヤーイベントの緩和の詳細については、「Shield Advanced によるアプリケーションレイヤーのDDoS緩和の自動化 」を参照してください。

Shield Advanced アプリケーションレイヤー の緩和の詳細については、「AWS Shield Advanced および によるアプリケーションレイヤー (レイヤー 7) の保護 AWS WAF」を参照してください。