AWS WAF、 AWS Shield Advanced、 とは AWS Firewall Manager - AWS WAF, AWS Firewall Managerおよび AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF、 AWS Shield Advanced、 とは AWS Firewall Manager

AWS WAF、、AWS Shieldおよび をAWS Firewall Manager一緒に使用して包括的なセキュリティソリューションを作成できます。 AWS WAF は、エンドユーザーがアプリケーションに送信するウェブリクエストをモニタリングし、コンテンツへのアクセスを制御するために使用できるウェブアプリケーションファイアウォールです。Shield Advanced は、ネットワークレイヤーとトランスポートレイヤー (レイヤー 3 と 4DDoS) およびアプリケーションレイヤー (レイヤー 7) で、 AWS リソースに対する分散型サービス拒否 () 攻撃に対する保護を提供します。 AWS Firewall Manager は、新しいリソースが追加されても、アカウントとリソース間で AWS WAF や Shield Advanced などの保護を管理します。

とは AWS WAF

AWS WAF は、保護されたウェブアプリケーションリソースに転送される HTTPおよび HTTPSリクエストをモニタリングできるウェブアプリケーションファイアウォールです。以下のリソースタイプを保護できます。

  • Amazon CloudFront ディストリビューション

  • Amazon API Gateway REST API

  • Application Load Balancer

  • AWS AppSync GraphQL API

  • Amazon Cognito ユーザープール

  • AWS App Runner サービス

  • AWS Verified Access インスタンス

AWS WAF では、コンテンツへのアクセスを制御できます。リクエストの送信元の IP アドレスやクエリ文字列の値など、指定した条件に基づいて、保護されたリソースはリクエストされたコンテンツ、403 HTTP ステータスコード (禁止)、またはカスタムレスポンスのいずれかでリクエストに応答します。

最も単純なレベルで AWS WAF は、次のいずれかの動作を選択します。

  • 指定したリクエストを除くすべてのリクエストを許可する – これは、Amazon CloudFront、Amazon API Gateway、Application Load Balancer 、 AWS AppSync、Amazon Cognito AWS App Runner、または AWS Verified Access でパブリックウェブサイトのコンテンツを提供するが、攻撃者からのリクエストもブロックする場合に便利です。

  • 指定したリクエスト以外のすべてのリクエストをブロックする - これは、制限されたウェブサイトのコンテンツを提供する場合に便利です。ユーザーは、ウェブサイトをウェブリクエストのプロパティ (ウェブサイトを参照するために使用する IP アドレスなど) によって簡単に識別できるようになります。

  • 条件に一致するリクエストをカウントする - Count アクションを使用して、処理方法を変更せずにウェブトラフィックを追跡できます。これは、一般的なモニタリングのほか、新しいウェブリクエスト処理ルールをテストするためにも使用できます。ウェブリクエストの新しいプロパティに基づいてリクエストを許可またはブロックする場合は、まず、それらのプロパティに一致するリクエストをカウント AWS WAF するように を設定できます。これにより、ルールを切り替えて一致するリクエストを許可またはブロックする前に、新しい構成設定を確認できます。

  • 条件に一致するリクエストに対してチェックを実行CAPTCHAまたはチャレンジする – リクエストに対してチャレンジコントロールを実装CAPTCHAおよびサイレントにすることで、保護されたリソースへのボットトラフィックを減らすことができます。

の使用 AWS WAF にはいくつかの利点があります。

  • 指定した基準を使用した、ウェブ攻撃に対する追加の保護。基準を定義するには、次のようなウェブリクエストの特性を使用します。

    • リクエストの発生元の IP アドレス。

    • リクエスト送信元の国。

    • リクエストヘッダーの値。

    • リクエストに含まれる文字列 (正規表現パターンと一致する特定の 1 つ以上の文字列)。

    • リクエストの長さ。

    • 悪意のある可能性が高いSQLコード (インSQLジェクション と呼ばれる) の存在。

    • 悪意のある可能性があるスクリプト (クロスサイトスクリプティング) の有無。

  • 指定された基準を満たすウェブリクエストを許可、ブロック、またはカウントするルール。または、ルールは、指定された条件を満たすだけでなく、1 分または 5 分で指定されたリクエスト数を超えるウェブリクエストをブロックまたはカウントできます。

  • 複数のウェブアプリケーションで再利用できるルール。

  • AWS および AWS Marketplace 販売者のマネージドルールグループ。

  • リアルタイムのメトリクスとサンプリングされたウェブリクエスト。

  • を使用した自動管理 AWS WAF API。

リソースに追加する保護をよりきめ細かに制御したい場合は、 AWS WAF のみを使用することが適切な選択である場合があります。の詳細については、 AWS WAF「」を参照してくださいAWS WAF

とは AWS Shield Advanced

AWS WAF ウェブアクセスコントロールリスト (ウェブ ACLs) を使用すると、分散サービス拒否 (DDoS) 攻撃の影響を最小限に抑えることができます。DDoS 攻撃に対する保護を強化するために、 は AWS Shield Standard と AWS も提供します AWS Shield Advanced。 AWS Shield Standard は、すでに支払った料金 AWS WAF やその他の AWS サービスを超える追加コストなしで自動的に含まれます。

Shield Advanced は、Amazon EC2インスタンス、Elastic Load Balancing ロードバランサー、 CloudFront ディストリビューション、Route 53 ホストゾーン、および AWS Global Accelerator 標準アクセラレーターに対して拡張されたDDoS攻撃保護を提供します。Shield Advanced には追加料金が発生します。Shield Advanced のオプションと機能には、アプリケーションレイヤーの自動DDoS緩和、高度なイベントの可視性、Shield Response Team () からの専用サポートが含まれますSRT。可視性の高いウェブサイトを所有している場合、または頻繁にDDoS攻撃される傾向がある場合は、Shield Advanced が提供する追加の保護を購入することを検討してください。詳細については、「AWS Shield Advanced 機能とオプション」および「AWS Shield Advanced をサブスクライブして追加の保護を適用するか否かの判断」を参照してください。

とは AWS Firewall Manager

AWS Firewall Manager は、、、 AWS WAF AWS Shield Advanced Amazon VPC セキュリティグループとネットワーク 、Amazon Route 53 Resolver DNS Firewall などACLs、さまざまな保護のために AWS Network Firewall複数のアカウントとリソースにわたる管理およびメンテナンスタスクを簡素化します。Firewall Manager を使用すると、保護を 1 回設定するだけで、アカウントとリソースに (追加する新しいアカウントとリソースにも) その保護が自動的に適用されます。

Firewall Manager の詳細については、「AWS Firewall Manager」を参照してください。