を使用したアプリケーションレイヤー (レイヤー 7) DDoS 保護の設定 AWS WAF - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用したアプリケーションレイヤー (レイヤー 7) DDoS 保護の設定 AWS WAF

このページでは、 AWS WAF ウェブ ACLs でアプリケーションレイヤー保護を設定する手順について説明します。

アプリケーションレイヤーリソースを保護するために、Shield Advanced はレートベースのルールを出発点として AWS WAF ウェブ ACL を使用します。 AWS WAF は、アプリケーションレイヤーリソースに転送される HTTP および HTTPS リクエストをモニタリングし、リクエストの特性に基づいてコンテンツへのアクセスを制御できるウェブアプリケーションファイアウォールです。レートベースのルールは、リクエスト集約条件に基づいてトラフィックの量を制限し、アプリケーションに基本的な DDoS 防御を提供します。詳細については、の AWS WAF 仕組みおよびでのレートベースのルールステートメントの使用 AWS WAFを参照してください。

また、オプションで Shield Advanced の自動アプリケーションレイヤーの DDoS 談話を有効にして、既知の DDoS ソースから Shield Advanced レート制限リクエストを受け取り、インシデント固有の保護を自動的に提供することもできます。

重要

Shield Advanced ポリシー AWS Firewall Manager を使用して を通じて Shield Advanced 保護を管理する場合、ここではアプリケーションレイヤー保護を管理することはできません。Firewall Manager Shield Advanced ポリシーで管理する必要があります。

Shield Advanced サブスクリプションと AWS WAF コスト

Shield Advanced サブスクリプションは、Shield Advanced で保護するリソースの標準 AWS WAF 機能を使用するコストをカバーします。Shield Advanced 保護の対象となる標準 AWS WAF 料金は、ウェブ ACL あたりのコスト、ルールあたりのコスト、ウェブリクエスト検査の 100 万リクエストあたりの基本料金、最大 1,500 WCUs、デフォルトの本文サイズです。

Shield Advanced 自動アプリケーションレイヤー DDoS 緩和を有効にすると、150 個のウェブ ACL キャパシティユニット (WCU) はルールグループに追加されます。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。詳細についてはShield Advanced によるアプリケーションレイヤー DDoS 自動緩和 Shield Advanced ルールグループによるアプリケーションレイヤーの保護、およびのウェブ ACL キャパシティユニット (WCUs) AWS WAFを参照してください。

Shield Advanced のサブスクリプションでは、Shield Advanced を使用して保護しないリソース AWS WAF の の使用はカバーされません。また、保護されたリソースの標準以外の追加 AWS WAF コストもカバーしません。標準以外の AWS WAF コストの例としては、Bot Control、CAPTCHAルールアクション、1,500 を超える WCUs を使用するウェブ ACLs、デフォルトの本文サイズを超えるリクエスト本文の検査などがあります。詳細なリストは AWS WAF 料金ページに記載されています。

詳細情報および料金の例については、「Shield の料金」および「AWS WAF  の料金」を参照してください。

リージョン用にレイヤー 7 DDoS 保護を設定するには

Shield Advanced では、選択したリソースが配置されている各リージョンについて、レイヤー 7 DDoS 緩和策を設定するオプションを使用できます。複数のリージョンに保護を追加する場合、ウィザードはリージョンごとに次の手順を説明します。

  1. [Configure layer 7 DDoS protections] (レイヤー 7 DDoS 保護の設定) ページには、ウェブ ACL にまだ関連付けられていない各リソースが一覧表示されます。これらのそれぞれについて、既存のウェブ ACL を選択するか、新しいウェブ ACL を作成します。既にウェブ ACL が関連付けられているリソースについては、まず現在の ACL から関連付けを解除することでウェブ ACLs を変更できます AWS WAF。詳細については、「ウェブ ACL と AWS リソースの関連付けまたは関連付け解除」を参照してください。

    レートベースのルールがまだないウェブ ACL の場合、設定ウィザードでルールを追加するよう求められます。レートベースのルールは、大量のリクエストを送信している IP アドレスからのトラフィックを制限します。レートベースのルールは、ウェブリクエストのフラッドからアプリケーションを保護するのに役立つとともに、DDoS 攻撃の可能性を示していることがあるトラフィックの急増についてアラートを出すことができます。[Add rate limit rule] (レート制限ルールを追加) を選択し、レート制限とルールアクションを指定して、レートベースのルールをウェブ ACL に追加します。ウェブ ACL で追加の保護を設定できます AWS WAF。

    レートベースのルールの追加設定オプションを含む、Shield Advanced 保護でのウェブ ACL およびレートベースのルールの使用方法については、「AWS WAF ウェブ ACLs と Shield Advanced によるアプリケーションレイヤーの保護」を参照してください。

  2. 自動アプリケーションレイヤー DDoS 緩和では、Shield Advanced がアプリケーションレイヤーリソースに対する DDoS 攻撃を自動的に軽減するようにする場合は、有効化を選択し、Shield Advanced がカスタム AWS WAF ルールで使用するルールアクションを選択します。この設定は、このウィザードセッションで管理しているリソースのすべてのウェブ ACL に適用されます。

    アプリケーションレイヤー DDoS 自動緩和により、Shield Advanced は、既知の DDoS ソースからのリクエストの量を制限するレートベースのルールをリソースの AWS WAF ウェブ ACL に維持します。さらに、Shield Advanced は、現在のトラフィックパターンと過去のトラフィックベースラインを比較して、DDoS 攻撃を示している可能性のある逸脱を検出します。Shield Advanced は DDoS 攻撃を検出すると、応答するカスタム AWS WAF ルールを作成、評価、デプロイすることで応答します。カスタムルールが、ユーザーに代わって攻撃に対してカウントまたはブロックするかどうかを指定します。

    注記

    自動アプリケーションレイヤー DDoS 緩和は、最新バージョンの AWS WAF (v2) を使用して作成されたウェブ ACLs でのみ機能します。

    この機能を使用するための注意点やベストプラクティスなど、Shield Advanced 自動アプリケーションレイヤー DDoS 緩和の詳細については、Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 を参照してください。

  3. [Next (次へ)] を選択します。コンソールウィザードは、ヘルスベースの検出のページに進みます。