DDoS 攻撃への対応 - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

DDoS 攻撃への対応

AWS では、レイヤー 3 およびレイヤー 4 の DDoS 攻撃への対処が自動的に行われます。Amazon EC2 インスタンスの保護に Shield アドバンスド を使用している場合に攻撃が発生すると、Shield アドバンスド は AWS ネットワークの境界に Amazon VPC ネットワーク ACL を自動的にデプロイします。これにより、Shield アドバンスド はより大きな DDoS イベントに対して保護を提供できます。ネットワーク ACL の詳細については、「ネットワーク ACL」を参照してください。

CloudWatch の DDoS アラームがレイヤー 7 攻撃の兆候を示す場合は、以下の 2 つのオプションがあります。

  • 自分で攻撃を調査して軽減する。自分で攻撃を調査して軽減する: アクティビティが DDoS 攻撃を表していると判断した場合は、攻撃を軽減するための独自の AWS WAF ルールを作成できます。AWS WAF は追加料金なしで AWS Shield アドバンスド サービスに付属しています。AWS には、早く開始できるように事前設定されたテンプレートが用意されています。テンプレートには、一般的なウェブベースの攻撃をブロックするように設計された一連の AWS WAF ルールが含まれます。ビジネスのニーズに合わせてルールをカスタマイズできます。詳細については、「AWS WAF セキュリティオートメーション」および「ウェブ ACL の作成」を参照してください。

    AWS Firewall Manager を使用している場合は、これらのルールを Firewall Manager-AWS WAF ポリシーに追加できます。

  • AWS Shield アドバンスド を使用している場合は、軽減策について AWS Support Center に問い合わせるオプションもあります。重大かつ緊急のケースは DDoS エキスパートに直接、取り次がれます。AWS Shield アドバンスド では、複雑なケースを DRT にエスカレートできます。DRT には、AWS、Amazon.com、およびその子会社の保護に関する豊富な経験があります。

    DRT のサポートについては、AWS Support Center にお問い合わせください。次のオプションを選択してください:

    • ケースタイプ: テクニカルサポート

    • サービス: 分散サービス妨害 (DDoS)

    • カテゴリ: AWS への着信

    • 重要度: 適切なオプションを選択してください

    サポートに問い合わせた場合は、AWS Shield アドバンスド を使用していて DDoS 攻撃を受けた可能性があると担当者に説明してください。担当者がお客様の問い合わせを適切な DDoS エキスパートに取り次ぎます。[Distributed Denial of Service (DDoS) (分散サービス妨害 (DDoS))] サービスタイプを使用して AWS Support Center のケースを開くと、チャットや電話で DDoS エキスパートと直接お話しいただけます。DDoS サポートエンジニアは、攻撃の特定を支援し、AWS アーキテクチャの改善策を提案するほか、AWS サービスでの DDoS 攻撃の軽減のためのガイダンスを提供します。

    重要

    レイヤー 7 攻撃の場合、DRT は疑わしいアクティビティを分析し、お客様が問題を軽減できるようにサポートします。この軽減策では、多くの場合、DRT がお客様のアカウントで AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) を作成または更新する必要があります。ただし、DRT はそのためのアクセス権限をお客様から取得する必要があります。AWS Shield アドバンスド の有効化の一環として、「ステップ 4: (オプション) DDoS Response Team に権限を付与する」の手順に従って、必要なアクセス権限を DRT に事前に付与することをお勧めします。事前にアクセス権限を付与することで、実際に攻撃が発生した場合の遅延を防ぐことができます。

    また、可能性のある攻撃の前または最中に DRT に問い合わせて、カスタム軽減策を開発しデプロイすることもできます。たとえば、ウェブアプリケーションを実行していて、ポート 80 と 443 だけを開く必要がある場合は、DRT と連携してポート 80 と 443 だけを "許可" するようにウェブ ACL を事前設定できます。

    DRT への連絡と承認はアカウントレベルで行います。つまり、Firewall Manager-Shield アドバンスド ポリシー内で Shield アドバンスド を使用する場合、Firewall Manager 管理者ではなくアカウント所有者が DRT にサポートを依頼する必要があります。Firewall Manager 管理者は、所有しているアカウントに関してのみ DRT に問い合わせることができます。