DDoS イベントへの応答 - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

DDoS イベントへの応答

AWS は、レイヤー 3 およびレイヤー 4 DDoS 攻撃を自動的にアドレス指定します。Shield アドバンスド を使用してAmazon EC2インスタンスを保護する場合、攻撃中に Shield アドバンスド は自動的にAmazon VPCネットワークの境界ACLsにAWSネットワークをデプロイします。これによりShield アドバンスド、 はより大きなDDoSイベントに対して保護を提供できます。ネットワーク の詳細についてはACLs、「ネットワーク ACLsを参照してください。

のDDoSアラームがレイヤー 7 攻撃の兆候CloudWatchを示している場合は、以下のオプションがあります。

  • 自分で攻撃を調査して軽減する。アクティビティがDDoS攻撃を表していると判断した場合、攻撃を軽減するための独自の AWS WAF ルールを作成できます。 AWS WAF は追加料金AWS Shield アドバンスドなしで に付属しています。 には、すぐに開始できるように事前設定されたテンプレートAWSが用意されています。テンプレートには、一般的なウェブベースの攻撃をブロックするように設計された一連の AWS WAF ルールが含まれます。ビジネスのニーズに合わせてルールをカスタマイズできます。詳細については、「AWS WAF セキュリティオートメーション」および「web ACL の作成.」を参照してください。

    を使用する場合はAWS Firewall Manager、これらのルールをFirewall ManagerAWS WAFポリシーに追加できます。

  • AWS Shield アドバンスド のお客様は、軽減策AWS サポート Centerについて に問い合わせるオプションもあります。重大かつ緊急のケースはDDoSエキスパートに直接ルーティングされます。ではAWS Shield アドバンスド、複雑なケースを AWS にエスカレートできます。この にはDDoS Response Team (DRT)、、AWSAmazon.com、およびその子会社の保護において豊富な経験があります。DRT の詳細については、「AWS DDoS Response Team (DRT)).」を参照してください。

    DDoS Response Team (DRT) サポートを受けるには、 にお問い合わせくださいAWS サポート Center。次のオプションを選択してください:

    • ケースタイプ: テクニカルサポート

    • サービス: 分散サービス妨害 (DDoS)

    • カテゴリ: への着信AWS

    • 重要度: 適切なオプションを選択してください

    担当者と話すときは、お客様が AWS Shield アドバンスド のお客様にDDoS攻撃の兆候を見つけたことを説明してください。担当者がお客様の電話を適切なDDoSエキスパートに送ります。AWS サポート Center分散サービス妨害 (DDoS) サービスタイプを使用して のケースを開いた場合は、チャットまたは電話でDDoSエキスパートと直接お話しいただけます。DDoS サポートエンジニアは、攻撃の特定、AWSアーキテクチャの改善策の推奨、AWS攻撃の軽減のためのDDoSサービスの使用に関するガイダンスの提供を支援します。

    重要

    レイヤー 7 攻撃の場合、 DRT は疑わしいアクティビティを分析し、問題の軽減に役立ちます。この緩和策では、多くの場合、 DRT がアカウントでAWS WAFウェブアクセスコントロールリスト (ウェブACLs) を作成または更新する必要があります。ただし、DRT はそのためのアクセス権限をお客様から取得する必要があります。AWS Shield アドバンスド の有効化の一環として、「ステップ 5: AWS DRT サポートを設定する」の手順に従って、必要なアクセス権限を DRT に事前に付与することをお勧めします。事前にアクセス権限を付与することで、実際に攻撃が発生した場合の遅延を防ぐことができます。

    また、可能性のある攻撃DRTの前または最中に に問い合わせて、カスタム軽減策を開発およびデプロイすることもできます。たとえば、ウェブアプリケーションを実行していて、ポート 80 と 443 だけを開く必要がある場合、 を使用して、ポート 80 と 443 のみを "許可" するようにウェブ ACL DRT を事前設定できます。

    お客様は、アカウントDRTレベルで を認証し、問い合わせます。つまりShield アドバンスドFirewall Manager、ポリシーShield アドバンスド内で を使用する場合Firewall Manager、管理者ではなくアカウント所有者が DRT に連絡する必要があります。Firewall Manager 管理者は、自分が所有しているアカウントDRTに対してのみ に接続できます。