AWS Shield イベントの軽減方法 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Shield イベントの軽減方法

アプリケーションを保護する緩和ロジックは、アプリケーションのアーキテクチャによって異なります。Amazon と Amazon CloudFront Route 53 でウェブアプリケーションを保護すると、ウェブと DNS のユースケースに特有の、サービスのすべてのトラフィックを保護する緩和策の恩恵を受けることができます。 AWS アプリケーションのエントリポイントがリージョンで実行されるリソースである場合、緩和ロジックはサービス、リソースタイプ、および用途によって異なります。 AWS Shield Advanced

AWS DDoS軽減システムはSShield dのエンジニアによって開発され、サービスと緊密に統合されています。 AWS エンジニアは、ターゲットリソースの容量や健全性など、アーキテクチャの側面を考慮に入れます。Shield エンジニアは、DDoS 緩和システムの有効性とパフォーマンスを継続的に監視し、新しい脅威が発見または予測されたときに迅速に対応できます。

トラフィックの増加やロードに対応してスケールするようにアプリケーションを設計して、小規模なリクエストフラッドの影響を受けないようにする手助けをします。Shield Advanced を使用してリソースを保護すると、DDoS 攻撃の結果として発生する可能性のあるクラウド料金の予想外の増加を防ぐことができます。

インフラストラクチャの緩和

インフラストラクチャーレイヤーの攻撃では、 AWS Shield DDoS AWS 軽減システムがネットワークの境界とエッジロケーションに配置されています。 AWS AWS インフラストラクチャー全体に複数のレベルのセキュリティ制御を配置することで、 defense-in-depth クラウドアプリケーションに提供されます。

Shield により、インターネットからの進入のすべてのポイントで DDoS 軽減システムを維持されます。Shield は DDoS 攻撃を検出すると、進入ポイントごとに、同じ場所にある DDoS 緩和システムを介してトラフィックを再ルーティングします。これにより、観測可能な追加のレイテンシーが発生することはなく、 AWS すべてのリージョンとすべてのエッジロケーションで TeraBits 1 秒あたり 100 Tbps (Tbps) を超える緩和能力が得られます。Shield は、トラフィックを外部またはリモートのスクラビングセンターに再ルーティングすることなく、リソースの可用性を保護します。これにより、レイテンシーが増加する可能性があります。

  • DDoS 緩和システムは、 AWS あらゆるサービスやリソースについて、 AWS ネットワークの境界で、インターネットからのインフラストラクチャ層攻撃を軽減します。Shield による検出または Shield Response Team (SRT) のエンジニアによる通知があると、システムは緩和を実行します。

  • AWS エッジロケーションでは、DDoS 軽減システムが Amazon CloudFront ディストリビューションと Amazon Route 53 ホストゾーンに転送されるすべてのパケットを、その送信元に関係なく継続的に検査します。必要な場合、システムはウェブおよび DNS トラフィック向けに特別に設計された緩和策を適用します。Amazon CloudFront と Amazon Route 53 を使用してウェブアプリケーションを保護することのもう1つの利点は、Shield 検出からの信号を必要とせずに DDoS 攻撃を即座に軽減できることです。

アプリケーションレイヤーの緩和

Shield アドバンスドは、Shield アドバンスド保護を有効にした Amazon CloudFront ディストリビューションとアプリケーションロードバランサーにウェブアプリケーションレイヤーの軽減を提供します。保護を有効にすると、 AWS WAF ウェブ ACL をリソースに関連付けて、ウェブアプリケーションレイヤーの検出を有効にします。さらに、自動アプリケーションレイヤー軽減を有効にするオプションがあります。これは、DDoS 攻撃中に保護を管理するよう Shield Advanced に指示します。

Shieldは、Shield Advancedと自動アプリケーション層軽減を有効にしたリソースに対するアプリケーション層攻撃に対してのみカスタム緩和を提供します。Shield Advancedは、自動軽減機能により、 AWS WAF 既知のDDoSソースからのリクエストにレート制限を適用し、 AWS WAF 検出されたDDoS攻撃に対応してカスタムプロテクションを自動的に追加および管理します。このタイプの緩和の詳細については、「Shield Advanced が自動緩和を管理する方法」を参照してください。。

ウェブ ACL 内のレートベースのルールは、自分で追加したか、Shield Advancedの自動アプリケーションレイヤー軽減機能によって追加されたかにかかわらず、攻撃が検出可能なレベルに達する前に攻撃を軽減できます。検出の詳細については、を参照してください。アプリケーションレイヤーの脅威の検出ロジック