でアプリケーション層 (レイヤー 7) の DDoS 保護を設定します AWS WAF - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でアプリケーション層 (レイヤー 7) の DDoS 保護を設定します AWS WAF

アプリケーション層のリソースを保護するために、Shield Advanced AWS WAF はレートベースのルールを含むウェブ ACL を出発点として使用します。 AWS WAF は、アプリケーション層リソースに転送される HTTP および HTTPS リクエストを監視し、リクエストの特性に基づいてコンテンツへのアクセスを制御できるウェブアプリケーションファイアウォールです。レートベースのルールは、リクエスト集約条件に基づいてトラフィックの量を制限し、アプリケーションに基本的な DDoS 防御を提供します。詳細については、AWS WAF 仕組みおよびレートベースのルールステートメントを参照してください。

また、オプションで Shield Advanced の自動アプリケーションレイヤーの DDoS 談話を有効にして、既知の DDoS ソースから Shield Advanced レート制限リクエストを受け取り、インシデント固有の保護を自動的に提供することもできます。

重要

Shield AWS Firewall Manager アドバンスドポリシーを使用して Shield アドバンスド保護を管理している場合、ここでアプリケーション層保護を管理することはできません。Firewall Manager Shield Advanced ポリシーで管理する必要があります。

Shield アドバンストのサブスクリプションと費用 AWS WAF

Shield アドバンスドサブスクリプションは、Shield AWS WAF アドバンスドで保護するリソースの標準機能を使用するコストをカバーします。Shield Advanced AWS WAF 保護の対象となる標準料金は、ウェブ ACL あたりのコスト、ルールあたりのコスト、およびウェブリクエストインスペクションの 100 万リクエストあたりの基本価格(最大 1,500 WCU、デフォルトのボディサイズまで)です。

Shield Advanced 自動アプリケーションレイヤー DDoS 軽減を有効にすると、150 ウェブ ACL キャパシティユニット (WCU) を使用するルールグループがウェブ ACL に追加されます。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。詳細については、Shield Advanced アプリケーションレイヤー DDoS 自動緩和Shield Advanced ルールグループ、およびAWS WAF ウェブ ACL キャパシティユニット (WCU)を参照してください。

Shield アドバンスドへのサブスクリプションは、Shield アドバンスドを使用して保護していないリソースの使用には適用されません。 AWS WAF また、 AWS WAF 保護対象リソースの標準外の追加費用もカバーされません。 AWS WAF 非標準費用の例としては、ボットコントロール、CAPTCHAルールアクション、1,500 個以上の WCU を使用するウェブ ACL、デフォルトの本文サイズを超えるリクエスト本文の検査などがあります。全リストは料金ページに記載されています。 AWS WAF

詳細情報および料金の例については、「Shield の料金」および「AWS WAF  の料金」を参照してください。

リージョン用にレイヤー 7 DDoS 保護を設定するには

Shield Advanced では、選択したリソースが配置されている各リージョンについて、レイヤー 7 DDoS 緩和策を設定するオプションを使用できます。複数のリージョンに保護を追加する場合、ウィザードはリージョンごとに次の手順を説明します。

  1. [Configure layer 7 DDoS protections] (レイヤー 7 DDoS 保護の設定) ページには、ウェブ ACL にまだ関連付けられていない各リソースが一覧表示されます。これらのそれぞれについて、既存のウェブ ACL を選択するか、新しいウェブ ACL を作成します。すでにウェブ ACL が関連付けられているリソースについては、まず現在のウェブ ACL との関連付けを解除することでウェブ ACL を変更できます。 AWS WAF詳細については、「ウェブ ACL とリソースの関連付けまたは関連付け解除 AWS」を参照してください。

    レートベースのルールがまだないウェブ ACL の場合、設定ウィザードでルールを追加するよう求められます。レートベースのルールは、大量のリクエストを送信している IP アドレスからのトラフィックを制限します。レートベースのルールは、ウェブリクエストのフラッドからアプリケーションを保護するのに役立つとともに、DDoS 攻撃の可能性を示していることがあるトラフィックの急増についてアラートを出すことができます。[Add rate limit rule] (レート制限ルールを追加) を選択し、レート制限とルールアクションを指定して、レートベースのルールをウェブ ACL に追加します。を使用してウェブ ACL に追加の保護を設定できます。 AWS WAF

    レートベースのルールの追加設定オプションを含む、Shield Advanced 保護でのウェブ ACL およびレートベースのルールの使用方法については、「Shield AWS WAF アドバンストアプリケーションレイヤーのウェブ ACL とレートベースのルール」を参照してください。

  2. アプリケーションレイヤーの自動DDoS軽減で、Shield Advancedがアプリケーション層リソースに対するDDoS攻撃を自動的に軽減するようにするには、[有効化] を選択し、Shield Advanced AWS WAF がカスタムルールで使用したいルールアクションを選択します。この設定は、このウィザードセッションで管理しているリソースのすべてのウェブ ACL に適用されます。

    Shield Advancedは、アプリケーションレイヤーの自動DDoS軽減機能により、 AWS WAF リソースのウェブ ACLにレートベースのルールを維持し、既知のDDoSソースからのリクエストの量を制限します。さらに、Shield Advanced は、現在のトラフィックパターンと過去のトラフィックベースラインを比較して、DDoS 攻撃を示している可能性のある逸脱を検出します。Shield Advanced が DDoS 攻撃を検出すると、 AWS WAF 対応するカスタムルールを作成、評価、展開することで対応します。カスタムルールが、ユーザーに代わって攻撃に対してカウントまたはブロックするかどうかを指定します。

    注記

    アプリケーションレイヤーの自動DDoS対策は、最新バージョンの (v2) を使用して作成されたウェブ ACL でのみ機能します。 AWS WAF

    この機能を使用する際の注意点やベストプラクティスなど、Shield Advanced の自動アプリケーションレイヤー DDoS 軽減の詳細については、を参照してください。Shield Advanced アプリケーションレイヤー DDoS 自動緩和

  3. [次へ] を選択します。コンソールウィザードは、ヘルスベースの検出のページに進みます。