を使用したアプリケーションレイヤー (レイヤー 7) DDoS保護の設定 AWS WAF - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用したアプリケーションレイヤー (レイヤー 7) DDoS保護の設定 AWS WAF

このページでは、 AWS WAF ウェブ でアプリケーションレイヤー保護を設定する手順について説明しますACLs。

アプリケーションレイヤーリソースを保護するために、Shield Advanced はレートベースのルールACLを出発点とする AWS WAF ウェブを使用します。 AWS WAF は、アプリケーションレイヤーリソースに転送される HTTPおよび HTTPSリクエストをモニタリングし、リクエストの特性に基づいてコンテンツへのアクセスを制御できるウェブアプリケーションファイアウォールです。レートベースのルールは、リクエスト集約基準に基づいてトラフィックの量を制限し、アプリケーションに基本的なDDoS保護を提供します。詳細については、「その方法は? AWS WAF 仕組み」および「でのレートベースのルールステートメントの使用 AWS WAF」を参照してください。

オプションで、Shield Advanced 自動アプリケーションレイヤーDDoS緩和を有効にして、既知のDDoSソースからの Shield Advanced レート制限リクエストを有効にし、インシデント固有の保護を自動的に提供することもできます。

重要

Shield Advanced ポリシー AWS Firewall Manager を使用して Shield Advanced 保護を管理する場合、ここではアプリケーションレイヤー保護を管理できません。Firewall Manager Shield Advanced ポリシーで管理する必要があります。

Shield Advanced サブスクリプションと AWS WAF コスト

Shield Advanced サブスクリプションは、Shield Advanced で保護するリソースに標準 AWS WAF 機能を使用するコストをカバーします。Shield Advanced 保護の対象となる標準 AWS WAF 料金はACL、ウェブあたりのコスト、ルールあたりのコスト、およびウェブリクエスト検査の 100 万リクエストあたりの基本料金で、最大 1,500 WCUs個、デフォルトの本文サイズまでです。

Shield Advanced 自動アプリケーションレイヤーDDoS緩和を有効にすると、150 個のウェブACLキャパシティユニット () を使用するルールグループACLがウェブに追加されますWCUs。これらは、ウェブ のWCU使用状況にWCUsカウントされますACL。詳細については、Shield Advanced によるアプリケーションレイヤーのDDoS緩和の自動化 Shield Advanced ルールグループによるアプリケーションレイヤーの保護、およびのウェブACLキャパシティーユニット (WCUs) について AWS WAFを参照してください。

Shield Advanced のサブスクリプションは、Shield Advanced を使用して保護しないリソース AWS WAF の の使用には適用されません。また、保護されたリソースの標準以外の追加 AWS WAF コストもカバーされません。非標準 AWS WAF コストの例は、Bot Control の場合、CAPTCHA ルールアクション。1,500 を超える ACLsを使用するウェブの場合WCUs、およびデフォルトの本文サイズを超えるリクエスト本文を検査する場合。完全なリストは AWS WAF 料金ページに記載されています。

詳細情報および料金の例については、「Shield の料金」および「AWS WAF  の料金」を参照してください。

リージョンのレイヤー 7 DDoS保護を設定するには

Shield Advanced では、選択したリソースが配置されているリージョンごとにレイヤー 7 DDoS緩和を設定できます。複数のリージョンに保護を追加する場合、ウィザードはリージョンごとに次の手順を説明します。

  1. レイヤー 7 DDoS保護の設定 ページには、ウェブ にまだ関連付けられていない各リソースが一覧表示されますACL。それぞれについて、既存のウェブを選択するACLか、新しいウェブ を作成しますACL。ウェブ が既に関連付けられているリソースについてはACL、まず から現在のリソースの関連付けを解除ACLsすることでウェブを変更できます AWS WAF。詳細については、「ACL ウェブと の関連付けまたは関連付け解除 AWS リソース」を参照してください。

    レートベースのルールがまだACLsないウェブの場合、設定ウィザードによって追加するよう求められます。レートベースのルールは、大量のリクエストを送信している IP アドレスからのトラフィックを制限します。レートベースのルールは、ウェブリクエストのフラッドからアプリケーションを保護するのに役立ち、潜在的なDDoS攻撃を示すトラフィックの急増に関するアラートを提供できます。レート制限ルールを追加を選択し、レート制限とルールアクションを指定ACLして、レートベースのルールをウェブに追加します。 ACL を通じて、ウェブで追加の保護を設定できます AWS WAF。

    Shield Advanced 保護でウェブルールACLsとレートベースのルールを使用する方法の詳細については、「」を参照してくださいAWS WAF ウェブACLsと Shield Advanced によるアプリケーションレイヤーの保護

  2. 自動アプリケーションレイヤーDDoS緩和 では、Shield Advanced にアプリケーションレイヤーリソースに対するDDoS攻撃を自動的に軽減させたい場合は、Enable を選択し、Shield Advanced がカスタム AWS WAF ルールで使用するルールアクションを選択します。この設定は、このウィザードセッションで管理しているACLsリソースのすべてのウェブに適用されます。

    自動アプリケーションレイヤーDDoS緩和により、Shield Advanced は、既知のDDoSソースからのリクエストの量ACLを制限するレートベースのルールをリソースの AWS WAF ウェブに維持します。さらに、Shield Advanced は現在のトラフィックパターンを過去のトラフィックベースラインと比較し、DDoS攻撃を示す可能性のある偏差を検出します。Shield Advanced がDDoS攻撃を検出すると、応答するカスタム AWS WAF ルールを作成、評価、デプロイして応答します。カスタムルールが、ユーザーに代わって攻撃に対してカウントまたはブロックするかどうかを指定します。

    注記

    自動アプリケーションレイヤーDDoS緩和は、最新バージョン AWS WAF (v2) を使用してACLs作成されたウェブでのみ機能します。

    この機能を使用するための注意点やベストプラクティスなど、Shield Advanced 自動アプリケーションレイヤーDDoS緩和の詳細については、「」を参照してくださいShield Advanced によるアプリケーションレイヤーのDDoS緩和の自動化

  3. [Next (次へ)] を選択します。コンソールウィザードは、ヘルスベースの検出のページに進みます。