DDoS イベントへの対応 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
アプリケーションレイヤー攻撃についてのサポートへの問い合わせアプリケーションレイヤー攻撃の手動による緩和

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DDoS イベントへの対応

AWS ネットワークおよびトランスポート層 (レイヤー 3 およびレイヤー 4) の分散型サービス拒否 (DDoS) 攻撃を自動的に軽減します。Shield Advanced を使用して Amazon EC2 インスタンスを保護する場合、攻撃を受けている最中に、Shield Advanced は、Amazon VPC ネットワーク ACL を AWS ネットワークの境界に自動的にデプロイします。これにより、Shield Advanced は、大規模な DDoS イベントに対する保護を提供できます。ネットワーク ACL の詳細については、「ネットワーク ACL」を参照してください。

アプリケーション層 (レイヤー 7) の DDoS 攻撃では、 AWS AWS Shield Advanced アラームを通じて顧客を検知して通知しようとします。 CloudWatch デフォルトでは、有効なユーザートラフィックが誤ってブロックされないように、緩和策は自動的に適用されません。

アプリケーションレイヤー (レイヤー 7) リソースでは、攻撃に対応するために次のオプションを使用できます。

さらに、攻撃が発生する前に、次の緩和オプションをプロアクティブに有効にできます。

  • Amazon CloudFront ディストリビューションの自動緩和 — このオプションでは、Shield Advanced がウェブ ACL 内の緩和ルールをユーザーに代わって定義および管理します。アプリケーションレイヤーの自動緩和の詳細については、「Shield Advanced アプリケーションレイヤー DDoS 自動緩和」を参照してください。

  • プロアクティブエンゲージメント — アプリケーションの 1 AWS Shield Advanced つに対する大規模なアプリケーションレイヤー攻撃を検出すると、SRT は事前に連絡します。SRT は DDoS イベントをトリアージし、 AWS WAF 緩和策を作成します。SRT はお客様に連絡し、お客様の同意を得て、 AWS WAF ルールを適用することができます。このオプションの詳細については、「プロアクティブな関与の設定」を参照してください。

アプリケーションレイヤー DDoS 攻撃を受けている最中のサポートセンターへの問い合わせ

AWS Shield Advanced お客様であれば、AWS Support センターに連絡して緩和策の支援を受けることができます。重大かつ緊急のケースは DDoS エキスパートに直接、ルーティングされます。これにより AWS Shield Advanced、複雑なケースは、Amazon.com、 AWS AWSおよびその子会社の保護に豊富な経験を持つShield 対応チーム(SRT)に報告できます。SRT 関数の詳細については、「Shield Response Team (SRT) のサポート」を参照してください。

Shield Response Team (SRT) のサポートを受けるには、AWS Support Center に問い合わせてください。ケースへの応答時間は、選択した重要度と応答回数によって異なります (「AWS Support プラン」ページを参照)。

次のオプションを選択してください。

  • ケースタイプ: テクニカルサポート

  • サービス: Distributed Denial of Service (DDoS)

  • カテゴリー:インバウンド先 AWS

  • 重要度: 適切なオプションを選択してください

担当者と話し合う際には、 AWS Shield Advanced お客様が DDoS 攻撃を受けている可能性があることを説明してください。担当者がお客様の問い合わせを適切な DDoS エキスパートに取り次ぎます。[Distributed Denial of Service (DDoS)] サービスタイプを使用して AWS Support Center でケースを開いた場合は、チャットや電話で DDoS エキスパートと直接お話しいただけます。DDoS サポートエンジニアは、攻撃を特定したり、 AWS アーキテクチャの改善を推奨したり、DDoS AWS 攻撃を軽減するためのサービスの利用に関するガイダンスを提供したりするお手伝いをします。

アプリケーションレイヤー攻撃の場合、SRT は疑わしいアクティビティを分析するのをサポートします。リソースについて自動緩和が有効になっている場合、SRT は Shield Advanced が攻撃に対して自動的に実施している緩和策を確認できます。いずれの場合でも、SRT は問題の確認と緩和をサポートできます。SRT が推奨する緩和策では、多くの場合 SRT AWS WAF がアカウントのウェブアクセスコントロールリスト (ウェブ ACL) を作成または更新する必要があります。SRT がこの作業を行うには、お客様の許可が必要となります。

重要

有効にする一環として AWS Shield Advanced、の手順に従い、Shield Response Team (SRT) のためのアクセス権の設定攻撃時に支援するのに必要な権限を積極的にSRTに提供することをお勧めします。事前に許可を付与することで、実際に攻撃が発生した場合の遅延を防ぐことができます。

SRT は、DDoS 攻撃を分類して、攻撃シグネチャとパターンを識別できるようにお客様を支援します。ユーザーの同意を得て、SRT AWS WAF は攻撃を軽減するためのルールを作成して展開します。

また、緩和策を確認したり、カスタム緩和策を開発してデプロイしたりするために、攻撃の可能性が生じる前であっても、または生じている最中に SRT に問い合わせることもできます。例えば、ウェブアプリケーションを実行していて、ポート 80 と 443 だけを開く必要がある場合は、SRT と連携してポート 80 と 443 だけを [Allow] (許可) するようにウェブ ACL を事前設定できます。

SRT への連絡と承認はアカウントレベルで行います。つまり、Firewall Manager Shield Advanced ポリシー内で Shield Advanced を使用する場合、アカウント所有者 (Firewall Manager 管理者ではない) は SRT にサポートを依頼する必要があります。Firewall Manager 管理者は、所有しているアカウントに関してのみ SRT に問い合わせることができます。

アプリケーションレイヤー DDoS 攻撃の手動による緩和

リソースのイベントページのアクティビティが DDoS 攻撃であると判断した場合は、ウェブ ACL AWS WAF に独自のルールを作成して攻撃を軽減できます。Shield Advancedをご利用でない場合は、これが唯一のオプションです。 AWS WAF AWS Shield Advanced には追加料金なしで含まれています。ウェブ ACL でのルール作成の詳細については、「ウェブアクセスコントロールリスト (ウェブ ACL)」を参照してください。

を使用する場合は AWS Firewall Manager、 AWS WAF ルールをFirewall Manager AWS WAF ポリシーに追加できます。

アプリケーションレイヤー DDoS 攻撃の可能性がある状況を手動で緩和するには

  1. 異常な動作に一致する条件を使用して、ウェブ ACL にルールステートメントを作成します。まず、一致するリクエストをカウントするように設定します。ウェブ ACL およびルールステートメントの設定については、「ウェブ ACL ルールおよびルールグループの評価」および「AWS WAF 保護機能のテストと調整」を参照してください。

    注記

    最初に Block の代わりにルールアクション Count を使用して、常に最初にルールをテストしてください。新しいルールが正しいリクエストを識別していることを確認した後、リクエストをブロックするためにそれらを変更できます。

  2. リクエスト数をモニタリングして、一致するリクエストをブロックするかどうかを決定します。リクエストの量が異常に多い状況が継続しており、そのような状況を引き起こしているリクエストをルールがキャプチャしていると確信できる場合は、ウェブ ACL のルールを変更してそのリクエストをブロックします。

  3. イベントページのモニタリングを続行して、トラフィックが希望どおりに処理されるようにします。

AWS には設定済みのテンプレートが用意されているため、すぐに使い始めることができます。テンプレートには、一般的な Web AWS WAF ベースの攻撃をブロックするためにカスタマイズして使用できる一連のルールが含まれています。詳細については、「AWS WAF セキュリティオートメーション」を参照してください。