インテリジェントな脅威の軽減のためのベストプラクティス - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インテリジェントな脅威の軽減のためのベストプラクティス

インテリジェントな脅威の軽減機能の最も効果的でコスト効率性に優れた実装については、このセクションのベストプラクティスに従ってください。

  • JavaScript およびモバイルアプリケーション統合 SDK の実装 — アプリケーション統合を実装して、ACFP、ATP、またはボットコントロール機能のフルセットを可能な限り最も効果的な方法で有効にします。マネージドルールグループは、SDK が提供するトークンを使用して、セッションレベルで正規のクライアントトラフィックを望ましくないトラフィックから分離させます。アプリケーション統合 SDK は、これらのトークンが常に利用可能であることを確実にします。詳細については、以下を参照してください。

    インテグレーションを使用してクライアントに課題を実装したり、エンドユーザーへの JavaScript CAPTCHA パズルの表示方法をカスタマイズしたりできます。詳細については、「AWS WAF クライアントアプリケーション統合」を参照してください。

    JavaScript API を使用して CAPTCHA パズルをカスタマイズし、ウェブ ACL CAPTCHA の任意の場所でルールアクションを使用する場合は、クライアントの AWS WAF CAPTCHA レスポンスの処理に関するガイダンスに従ってください。からのキャプチャレスポンスを処理する AWS WAFこのガイダンスは、ACFP マネージドルールグループや Bot Control マネージドルールグループのターゲットを絞った保護レベルなど、CAPTCHA アクションを使用するすべてのルールに適用されます。

  • 送信するリクエストを ACFP、ATP、Bot Control ルールグループに限定する — インテリジェント脅威軽減マネージドルールルールグループの使用には追加料金がかかります。 AWS ACFP ルールグループは、指定したアカウント登録エンドポイントと作成エンドポイントに対するリクエストを検査します。ATP ルールグループは、指定したログインエンドポイントに対するリクエストを検査します。Bot Control ルールグループは、ウェブ ACL 評価で、到達するすべてのリクエストを検査します。

    これらのルールグループの使用を減らすため、以下のアプローチを検討してください。

    • マネージドルールグループステートメント内のスコープダウンステートメントを使用して、検査からリクエストを除外します。これは、ネスト可能なステートメントならどれでも実行できます。詳細については、スコープダウンステートメント を参照してください。

    • ルールグループの前にルールを追加することで、検査からリクエストを除外します。スコープダウンステートメントで使用できないルール、およびラベル付けの後にラベルの照合が行われるような複雑な状況については、ルールグループの前に実行されるルールを追加する必要があるかもしれません。詳細については、「スコープダウンステートメント」および「ルールステートメントの基本」を参照してください。

    • 低料金のルールを実行してからルールグループを実行します。 AWS WAF 何らかの理由でリクエストをブロックする他の標準ルールがある場合は、これらの有料ルールグループよりも先にそのルールを実行してください。ルールとルール管理の詳細については、「ルールステートメントの基本」を参照してください。

    • インテリジェントな脅威の軽減のためのマネージドルールグループを複数使用している場合は、Bot Control、ATP、ACFP の順に実行すると、コストを抑えることができます。

    料金の詳細については、「AWS WAF の料金表」を参照してください。

  • 通常のウェブトラフィック中に Bot Control ルールグループのターゲットを絞った保護レベルを有効にする – ターゲットを絞った保護レベルのルールの一部では、通常のトラフィックパターンのベースラインを確立してからでないと、不規則なトラフィックパターンや悪意のあるトラフィックパターンに対する認識と対応が行えません。例えば、TGT_ML_* ルールのウォームアップには最大 24 時間かかります。

    攻撃を受けていないときにこれらの保護を追加し、ルールが攻撃に対して適切に対応することを期待する前に、トラフィックパターンのベースラインを確立するための猶予時間を与えます。攻撃中にこれらのルールを追加した場合、攻撃が収まった後、ベースラインを確立するまでにかかる時間は通常の 2 倍から 3 倍になります。これは、攻撃トラフィックによって歪みが生じるためです。ルールとルールのウォームアップに必要な時間に関する詳細については、「ルールの一覧」を参照してください。

  • 分散型サービス拒否 (DDoS) からの保護には、Shield Advanced のアプリケーションレイヤー DDoS 自動緩和を使用する – インテリジェントな脅威の軽減ルールグループは DDoS 保護を提供しません。ACFP は、アプリケーションのサインアップページに対するアカウントの不正な作成の試みから保護します。ATP は、ログインページに対するアカウント乗っ取りの試みを防ぎます。Bot Control は、トークンとクライアントセッションに対する動的なレート制限を使用して、人間のようなアクセスパターンを実施することに重点を置いています。

    アプリケーションレイヤーの自動DDoS軽減を有効にしてShield Advancedを使用すると、Shield Advanced はユーザーに代わってカスタム緩和策を作成、評価、展開することで、検出された DDoS 攻撃に自動的に対応します。 AWS WAF Shield Advanced の詳細については、「AWS Shield Advanced 概要」および「AWS Shield Advanced アプリケーション層 (レイヤー 7) 保護」を参照してください。

  • トークン処理を調整および設定する – 最高のユーザーエクスペリエンスが得られるように、ウェブ ACL のトークン処理を調整します。

    • 運用コストを削減し、エンドユーザーエクスペリエンスを改善するには、トークン管理のイミュニティ時間をセキュリティ要件が許容する最大時間に調整します。これにより、CAPTCHA パズルやサイレントチャレンジの使用を最小限に抑えることができます。詳細については、タイムスタンプの有効期限: AWS WAF トークンのイミュニティ時間 を参照してください。

    • 保護されたアプリケーション間でトークン共有を有効にするには、ウェブ ACL のトークンドメインリストを設定します。詳細については、AWS WAF トークンドメインとドメインリスト を参照してください。

  • 任意のホスト仕様を持つリクエストを拒否する – ウェブリクエストの Host ヘッダーがターゲットリソースに一致することを必須とするように保護対象リソースを設定します。ホストについて、1 つの値、または特定の値セット (myExampleHost.com および www.myExampleHost.com など) を受け入れることはできますが、任意の値は受け入れないでください。

  • CloudFront ディストリビューションのオリジンであるApplication Load Balancer については、 CloudFront 適切なトークン処理を行うように設定してください。ウェブ ACL をApplication Load Balancer に関連付けて、アプリケーションロードバランサーをディストリビューションのオリジンとしてデプロイする場合は、を参照してください。 AWS WAF CloudFront CloudFront オリジンである Application Load Balancer に必要な設定

  • デプロイ前にテストして調整する – ウェブ ACL に変更を実装する前に、本ガイドのテストおよび調整手順に従って、期待通りの動作が得られることを確認してください。これらの有料機能を使用する場合は特に重要です。一般的なガイダンスについては、「AWS WAF 保護機能のテストと調整」を参照してください。有料マネージドルールグループ固有の情報については、「ACFP のテストとデプロイ」、「ATP のテストとデプロイ」、「AWS WAF Bot Control のテストとデプロイ」を参照してください。