翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Shield CloudFront と Route 53 の緩和ロジック
Shield の DDoS 対策は、および Route 53 CloudFront のトラフィックを継続的に検査します。これらのサービスは、 AWS 世界中に分散したエッジロケーションのネットワークから運用されます。これにより、Shield の DDoS 軽減機能に幅広くアクセスでき、エンドユーザーにより近いインフラストラクチャからアプリケーションを配信できます。
-
CloudFront— Shield DDoS対策では、ウェブアプリケーションに有効なトラフィックのみがサービスに送信されます。これにより、UDP リフレクション攻撃など、多くの一般的な DDoS ベクトルに対して自動的に保護されます。
CloudFront アプリケーションオリジンへの持続的な接続を維持し、Shield TCP SYN プロキシ機能との統合により TCP SYN フラッドが自動的に軽減され、トランスポート層セキュリティ (TLS) はエッジで終了します。これらの機能を組み合わせることで、アプリケーションオリジンは整形式のウェブリクエストのみを受信し、下位層の DDoS 攻撃、接続フラッド、および TLS 不正使用から保護されます。
CloudFront DNS トラフィック方向とエニーキャストルーティングを組み合わせて使用します。これらの手法は、ソースに近い攻撃を緩和し、障害を分離し、容量へのアクセスを確保して既知の最大の攻撃を軽減することで、アプリケーションの復元力を向上させます。
-
Route 53 — Shield 緩和では、有効な DNS リクエストのみがサービスに到達することを許可します。Shield は、既知の正常なクエリに優先順位を付け、疑わしいまたは既知の DDoS 攻撃属性を含むクエリの優先度を下げる、疑わしいスコアリングを使用して DNS クエリのフラッドを軽減します。
Route 53 は、シャッフルシャーディングを使用して、IPv4 と IPv6 の両方のホストゾーンに 4 つのリゾルバー IP アドレスの一意のセットを提供します。各 IP アドレスは、Route 53 ロケーションの異なるサブセットに対応します。各ロケーションサブセットは、他のサブセットのインフラストラクチャと部分的にしか重複しない権限を持つ DNS サーバーで構成されます。これにより、何らかの理由でユーザークエリが失敗した場合、再試行時に正常に処理されるようになります。
Route 53 は、エニーキャストルーティングを使用して、ネットワークの近接度に基づいて DNS クエリを最も近いエッジロケーションに送信します。エニーキャストはまた、DDoS トラフィックを多くのエッジロケーションにファンアウトし、攻撃が単一のロケーションに集中するのを防ぎます。
迅速な緩和に加えて、 CloudFront Route 53 は世界中に分散された Shield のキャパシティへの幅広いアクセスを提供します。これらの機能を活用するには、これらのサービスを動的または静的ウェブアプリケーションのエントリーポイントとして使用します。
Route 53 を使用してウェブアプリケーションを保護する方法の詳細については、「Amazon CloudFront CloudFront と Amazon Route 53 を使用して DDoS 攻撃から動的ウェブアプリケーションを保護する方法