アプリケーションレイヤー (レイヤー 7) DDoS 保護を AWS WAF で設定する - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

アプリケーションレイヤー (レイヤー 7) DDoS 保護を AWS WAF で設定する

アプリケーションレイヤーリソースを保護するために、Shield Advanced はレートベースのルールを持つ AWS WAF ウェブ ACL を開始点として使用します。AWS WAF はアプリケーションレイヤーリソースに転送される HTTP および HTTPS リクエストをモニタリングし、リクエストの特性に基づいてコンテンツへのアクセスを制御できるウェブアプリケーションファイアウォールです。レートベースのルールは、単一の IP アドレスからのトラフィックの量を制限し、アプリケーションに基本的な DDoS 保護を提供します。詳細については、AWS WAF の仕組み および レートベースのルールステートメント を参照してください。

Shield Advanced で AWS WAF ウェブ ACL を使用する場合の基本料金は、Shield Advanced のサブスクリプションでカバーされます。料金情報と例については、「AWS Shield Advanced の料金表」を参照してください。

また、オプションで Shield Advanced の自動アプリケーションレイヤー DDoS 緩和を有効にして、Shield Advanced がインシデント固有の保護を自動的に提供するようにすることもできます。

重要

Shield Advanced ポリシーを使用して AWS Firewall Manager を通じて Shield Advanced 保護を管理する場合、ここでアプリケーションレイヤー保護を管理することはできません。Firewall Manager Shield Advanced ポリシーで管理する必要があります。

リージョン用にレイヤー 7 DDoS 保護を設定するには

Shield Advanced では、選択したリソースが配置されている各リージョンについて、レイヤー 7 DDoS 緩和策を設定するオプションを使用できます。複数のリージョンに保護を追加する場合、ウィザードはリージョンごとに次の手順を説明します。

  1. [Configure layer 7 DDoS protections] (レイヤー 7 DDoS 保護の設定) ページには、ウェブ ACL にまだ関連付けられていない各リソースが一覧表示されます。これらのそれぞれについて、既存のウェブ ACL を選択するか、新しいウェブ ACL を作成します。すでに ウェブ ACL が関連付けられているリソースについては、まず AWS WAF を通じて現在のウェブ ACL の関連付けを解除することで、ウェブ ACL を変更できます。詳細については、「ウェブ ACL と AWS リソースの関連付けまたは関連付けの解除」を参照してください。

    レートベースのルールがまだないウェブ ACL の場合、設定ウィザードでルールを追加するよう求められます。レートベースのルールは、大量のリクエストを送信している IP アドレスからのトラフィックを制限します。レートベースのルールは、ウェブリクエストのフラッドからアプリケーションを保護するのに役立つとともに、DDoS 攻撃の可能性を示していることがあるトラフィックの急増についてアラートを出すことができます。[Add rate limit rule] (レート制限ルールを追加) を選択し、レート制限とルールアクションを指定して、レートベースのルールをウェブ ACL に追加します。ウェブ ACL では、AWS WAF を通じて追加の保護を設定できます。

    レートベースのルールの追加設定オプションを含む、Shield Advanced 保護でのウェブ ACL およびレートベースのルールの使用方法については、「Shield Advanced アプリケーションレイヤーの AWS WAF ウェブ ACL とレートベースのルール」を参照してください。

  2. [Automatic application layer DDoS mitigation] (アプリケーションレイヤー DDoS 自動緩和) では、Shield Advanced がアプリケーションレイヤーリソースに対する DDoS 攻撃を自動的に緩和するようにするには、[Enable] (有効化) を選択してから、Shield Advanced がカスタムルールで使用する AWS WAF ルールアクションを選択します。この設定は、このウィザードセッションで管理しているリソースのすべてのウェブ ACL に適用されます。

    自動アプリケーションレイヤーの DDoS 緩和機能では、Shield Advanced は、現在のトラフィックパターンと過去のトラフィックベースラインを比較して、DDoS 攻撃を示している可能性のある逸脱を検出します。リソースに対して自動緩和が有効になっている場合、Shield Advanced が DDoS 攻撃を検出すると、対応するカスタム AWS WAF ルールを作成、評価、およびデプロイすることで対応します。カスタムルールが、ユーザーに代わって攻撃に対してカウントまたはブロックするかどうかを指定します。

    注記

    アプリケーションレイヤー DDoS 自動緩和は、AWS WAF (v2)の最新バージョンを使用して作成されたウェブ ACL でのみ機能します。

    Shield Advanced アプリケーションレイヤー DDoS 自動緩和の詳細については、「Shield Advanced アプリケーションレイヤー DDoS 自動緩和」を参照してください。

  3. [Next] (次へ) をクリックします。コンソールウィザードは、ヘルスベースの検出のページに進みます。