AWS Shield リージョンの AWS 緩和ロジック

このページでは、Shield イベント緩和ロジックが AWS リージョンでどのように機能するかについて説明します。

AWS リージョンで起動されるリソースは、Shield リソースレベルの検出によって配置される緩和システムによって保護 AWS Shield DDoSされます。リージョンリソースには、Elastic IPs (EIPs）、Classic Load Balancer、Application Load Balancer が含まれます。

緩和を実施する前に、Shield はターゲットリソースとその容量を特定します。Shield は、キャパシティを使用して、緩和がリソースに転送できる最大合計トラフィックを決定します。緩和策内のアクセスコントロールリスト (ACLs) やその他のシェーパーは、既知のDDoS攻撃ベクトルに一致するトラフィックや大量に発生するとは予想されないトラフィックなど、一部のトラフィックの許容ボリュームを減らす可能性があります。これにより、リフレクUDPション攻撃または TCP SYN フラグまたは FINフラグを持つトラフィックに対して緩和が許可するTCPトラフィックの量がさらに制限されます。

Shield は、リソースタイプごとにキャパシティを決定し、緩和を別々に配置します。

• Amazon EC2インスタンス、または Amazon EC2インスタンスにアタッチEIPされている の場合、Shield はインスタンスタイプと、インスタンスで拡張ネットワーキングが有効になっているかどうかなど、他のインスタンス属性に基づいて容量を計算します。

• Application Load Balancer または Classic Load Balancer の場合、Shield はロードバランサーのターゲットノードごとに個別に容量を計算します。DDoS これらのリソースの攻撃緩和は、Shield DDoS緩和とロードバランサーによる自動スケーリングの組み合わせによって提供されます。Shield Response Team (SRT) が Application Load Balancer または Classic Load Balancer リソースに対する攻撃に従事すると、追加の保護対策としてスケーリングが加速する可能性があります。

• Shield は、基盤となる AWS インフラストラクチャの利用可能な容量に基づいて、一部の AWS リソースの容量を計算します。これらのリソースタイプには、Network Load Balancer (NLBs) と、Gateway Load Balancer または を介してトラフィックをルーティングするリソースが含まれます AWS Network Firewall。

注記

Shield Advanced で保護EIPsされている をアタッチして、Network Load Balancer を保護します。を使用してSRT、基盤となるアプリケーションの予想されるトラフィックと容量に基づくカスタム緩和を構築できます。

Shield が緩和を行うと、Shield が緩和ロジックで定義する初期レート制限がすべての Shield DDoS緩和システムに等しく適用されます。たとえば、Shield が 100,000 パケット/秒 (pps) の制限で緩和を設定した場合、最初はすべてのロケーションで 100,000 pps を許可します。次に、Shield は継続的に緩和メトリクスを集約してトラフィックの実際の比率を決定し、その比率を使用して各ロケーションのレート制限を調整します。これにより、誤検出を防ぎ、緩和が過度に許容されないようにします。