の新しいコンソールエクスペリエンスの紹介 AWS WAF
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
DDoS 対策のテストとデプロイ
機能をデプロイする前に、 AWS WAF 分散サービス拒否 (DDoS) 防止を設定してテストする必要があります。このセクションでは、設定とテストに関する一般的なガイダンスを提供しますが、実行する特定のステップは、受け取るニーズ、リソース、ウェブリクエストによって異なります。
この情報は、AWS WAF 保護のテストとチューニング で提供されているテストおよび調整に関する一般情報とは別です。
注記
AWS マネージドルールは、一般的なウェブ脅威から保護するように設計されています。ドキュメントに従って使用すると、 AWS マネージドルールルールグループはアプリケーションに別のセキュリティレイヤーを追加します。ただし、 AWS マネージドルールルールグループは、選択した AWS リソースによって決定されるセキュリティ責任に代わるものではありません。責任共有モデル
本番稼働トラフィックのリスク
トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でアンチ DDoS 実装をテストおよび調整します。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。
このガイダンスは、 AWS WAF 保護パック (ウェブ ACLs)、ルール、およびルールグループの作成と管理の一般的な方法を知っているユーザーを対象としています。これらのトピックは、このガイドの前のセクションでカバーされています。
AWS WAF 分散サービス拒否 (DDoS) 防止実装を設定してテストするには
これらのステップを最初にテスト環境で実行し、次に本番環境で実行します。
-
AWS WAF 分散サービス拒否 (DDoS) 防止マネージドルールグループをカウントモードに追加する
注記
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「AWS WAF 料金
」を参照してください。 AWS マネージドルールルールグループ
AWSManagedRulesAntiDDoSRuleSetを新規または既存の保護パック (ウェブ ACL) に追加し、現在の保護パック (ウェブ ACL) の動作を変更しないように設定します。このルールグループのルールとラベルの詳細については、「AWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ」を参照してください。-
マネージドルールグループを追加する際には、それを編集し、次の手順を実行します。
-
ルールグループ設定ペインで、ウェブトラフィックのアンチ DDoS アクティビティを実行するために必要な詳細を指定します。詳細については、「DDoS 対策マネージドルールグループを保護パックに追加する (ウェブ ACL)」を参照してください。
-
[Rules] (ルール) ペインで、[Override all rule actions] (すべてのルールアクションをオーバーライド) ドロップダウンを開いて、[Count] を選択します。この設定では、 AWS WAF は、ルールグループ内のすべてのルールに対してリクエストを評価し、その結果の一致のみをカウントしつつ、引き続きリクエストにラベルを追加します。詳細については、「ルールグループ内のルールアクションのオーバーライド」を参照してください。
このオーバーライドを使用すると、DDoS 対策 DDoS マネージドルールの潜在的な影響をモニタリングして、サイレントブラウザチャレンジを処理できない URIs の正規表現を拡張するなど、変更を加えるかどうかを判断できます。
-
-
トラフィックを許可するルールの直後に、できるだけ早く評価されるようにルールグループを配置します。ルールは、数値の優先度の昇順で評価されます。コンソールは、ルールリストの上部から順番を設定します。詳細については、「ルールの優先度の設定」を参照してください。
-
-
保護パックのログ記録とメトリクスを有効にする (ウェブ ACL)
必要に応じて、ログ記録、Amazon Security Lake データ収集、リクエストサンプリング、および保護パック (ウェブ ACL) の Amazon CloudWatch メトリクスを設定します。これらの可視性ツールを使用して、DDoS 対策 DDoS マネージドルールグループとトラフィックの相互作用をモニタリングできます。
-
ログ記録の設定と使用については、「ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック」を参照してください。
-
Amazon Security Lake の詳細については、「Amazon Security Lake とは」および「Amazon Security Lake ユーザーガイド」の AWS 「サービスからのデータ収集」を参照してください。
-
Amazon CloudWatch メトリクスの詳細については、「Amazon CloudWatch によるモニタリング」を参照してください。
-
ウェブリクエストサンプリングの詳細については、「ウェブリクエストのサンプルの表示」を参照してください。
-
-
保護パック (ウェブ ACL) をリソースに関連付ける
保護パック (ウェブ ACL) がテストリソースにまだ関連付けられていない場合は、関連付けます。詳細については、「AWS リソースとの保護の関連付けまたは関連付け解除」を参照してください。
-
トラフィックとアンチ DDoS ルールの一致をモニタリングする
通常のトラフィックが流れていること、およびアンチ DDoS マネージドルールグループルールが一致するウェブリクエストにラベルを追加していることを確認します。ログにラベルが表示され、Amazon CloudWatch メトリクスに DDoS 対策とラベルメトリクスが表示されます。ログでは、ルールグループでカウントするようにオーバーライドしたルールが、カウントに設定された
actionと、オーバーライドした設定済のルールアクションを示すoverriddenActionとともに、ruleGroupListに表示されます。 -
DDoS 対策ウェブリクエスト処理をカスタマイズDDoS
必要に応じて、リクエストを明示的に許可またはブロックする独自のルールを追加して、DDoS 対策 DDoS ルールがどのように処理するかを変更します。
たとえば、DDoS 対策 DDoS ラベルを使用して、リクエストを許可またはブロックしたり、リクエスト処理をカスタマイズしたりできます。DDoS 対策マネージドルールグループの後にラベル一致ルールを追加して、適用する処理のラベル付きリクエストをフィルタリングできます。テスト後、関連する Anti-DDoS ルールをカウントモードで維持し、カスタムルールでリクエスト処理の決定を維持します。
-
テストルールを削除し、DDoS 対策設定を構成する DDoS
テスト結果を確認して、モニタリングのみのためにカウントモードで保持するアンチ DDoS ルールを決定します。アクティブな保護で実行するルールについては、保護パック (ウェブ ACL) ルールグループ設定でカウントモードを無効にして、設定されたアクションを実行できるようにします。これらの設定を確定したら、本番環境用に作成したカスタムルールを保持しながら、一時的なテストラベル一致ルールを削除します。DDoS 対策設定に関するその他の考慮事項については、「」を参照してくださいでのインテリジェントな脅威軽減のベストプラクティス AWS WAF。
-
モニタリングおよびチューニング
ウェブリクエストが必要に応じて処理されていることを確認するには、使用するアンチ DDoS 機能を有効にした後、トラフィックを注意深くモニタリングします。ルールグループに対するルールカウントの上書きと独自のルールを使用して、必要に応じて動作を調整します。
