AWS Shield AWS WAF、 AWS Firewall Managerとは何ですか? - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
AWS WAFAWS ShieldAWS Firewall Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Shield AWS WAF、 AWS Firewall Managerとは何ですか?

AWS WAFAWS Firewall Managerとを組み合わせて使用するとAWS Shield、包括的なセキュリティソリューションを作成できます。 AWS WAF は、エンドユーザーがアプリケーションに送信する Web リクエストを監視し、コンテンツへのアクセスを制御できる Web アプリケーションファイアウォールです。 AWS Shield ネットワーク層、トランスポート層 (レイヤー 3 と 4)、アプリケーションレイヤー (レイヤー 7) で、 AWS リソースに対する分散型サービス拒否 (DDoS) 攻撃から保護します。 AWS Firewall Manager 新しいリソースが追加された場合でも、 AWS WAF アカウントやリソース全体でShield Advancedなどの保護を管理できます。

AWS WAF

AWS WAF は、保護対象のウェブアプリケーションリソースに転送される HTTP および HTTPS リクエストを監視できるウェブアプリケーションファイアウォールです。以下のリソースタイプを保護できます。

  • Amazon CloudFront ディストリビューション

  • Amazon API Gateway REST API

  • Application Load Balancer

  • AWS AppSync GraphQL API

  • Amazon Cognito ユーザープール

  • AWS App Runner サービス

  • AWS 検証済みアクセスインスタンス

AWS WAF コンテンツへのアクセスを制御できます。リクエストの発生元の IP アドレスまたはクエリ文字列の値など、指定した条件に基づいて、保護されたリソースはリクエストに対し、リクエストされたコンテンツ、HTTP 403 ステータスコード (禁止)、カスタム応答のリクエストのいずれかで応答します。

AWS WAF 最も単純なレベルでは、以下の動作のいずれかを選択できます。

  • 指定したリクエストを除くすべてのリクエストを許可 — Amazon CloudFront、Amazon API Gateway、Application Load Balancer、Amazon Cognito AWS AppSync AWS App Runner、または AWS Verified Access で公開ウェブサイトのコンテンツを提供したいが、攻撃者からのリクエストもブロックしたい場合に便利です。

  • 指定したリクエスト以外のすべてのリクエストをブロックする - これは、制限されたウェブサイトのコンテンツを提供する場合に便利です。ユーザーは、ウェブサイトをウェブリクエストのプロパティ (ウェブサイトを参照するために使用する IP アドレスなど) によって簡単に識別できるようになります。

  • 条件に一致するリクエストをカウントする - Count アクションを使用して、処理方法を変更せずにウェブトラフィックを追跡できます。これは、一般的なモニタリングのほか、新しいウェブリクエスト処理ルールをテストするためにも使用できます。ウェブリクエストの新しいプロパティに基づいてリクエストを許可またはブロックしたい場合は、 AWS WAF まずそれらのプロパティに一致するリクエストをカウントするように設定できます。これにより、ルールを切り替えて一致するリクエストを許可またはブロックする前に、新しい構成設定を確認できます。

  • 基準に一致するリクエストに対して CAPTCHA または、チャレンジチェックを実行する – リクエストに対する CAPTCHA とサイレントチャレンジコントロールを実装して、保護されたリソースへのボットトラフィックを削減することができます。

AWS WAF を使用することにはいくつかの利点があります。

  • 指定した基準を使用した、ウェブ攻撃に対する追加の保護。基準を定義するには、次のようなウェブリクエストの特性を使用します。

    • リクエストの発生元の IP アドレス。

    • リクエスト送信元の国。

    • リクエストヘッダーの値。

    • リクエストに含まれる文字列 (正規表現パターンと一致する特定の 1 つ以上の文字列)。

    • リクエストの長さ。

    • 悪意のある可能性がある SQL コード (SQL インジェクション) の有無。

    • 悪意のある可能性があるスクリプト (クロスサイトスクリプティング) の有無。

  • 指定された基準を満たすウェブリクエストを許可、ブロック、またはカウントするルール。また、ルールでは、指定された条件を満たすだけでなく、1 分または 5 分以内に指定されたリクエスト数を超えるウェブリクエストをブロックまたはカウントできます。

  • 複数のウェブアプリケーションで再利用できるルール。

  • AWS AWS Marketplace 発行元と販売者のマネージドルールグループ。

  • リアルタイムのメトリクスとサンプリングされたウェブリクエスト。

  • AWS WAF API を使用した自動管理。

リソースに追加する保護をよりきめ細かに制御したい場合は、 AWS WAF のみを使用することが適切な選択である場合があります。の詳細については AWS WAF、を参照してくださいAWS WAF

AWS Shield

AWS WAF Web アクセスコントロールリスト (ウェブ ACL) を使用すると、分散型サービス拒否 (DDoS) 攻撃の影響を最小限に抑えることができます。DDoS 攻撃に対する保護を強化するため、 AWS とも用意されています。 AWS Shield Standard AWS Shield Advanced AWS Shield Standard AWS WAF AWS 既にお支払いいただいている金額やその他のサービスを超える追加費用なしで、自動的に含まれます。

AWS Shield Advanced Amazon EC2 インスタンス、Elastic Load Balancing ロードバランサー、 CloudFront ディストリビューション、Route 53 ホストゾーン、標準アクセラレーターに対する拡張された DDoS 攻撃からの保護を提供します。 AWS Global Accelerator AWS Shield Advanced 追加料金がかかります。Shield Advanced のオプションと機能には、アプリケーションレイヤー DDoS 自動緩和、高度なイベント可視性、および Shield Response Team (SRT) からの専用サポートが含まれます。認知度の高いウェブサイトを所有している場合、または頻繁な DDoS 攻撃を受けやすいという場合は、Shield Advanced が提供する追加保護の購入を検討してください。詳細については、「AWS Shield Advanced 機能とオプション」および「AWS Shield Advanced をサブスクライブして追加の保護を適用するか否かの判断」を参照してください。

AWS Firewall Manager

AWS Firewall Manager 、、Amazon VPC セキュリティグループ、Amazon Route 53 リゾルバー DNS ファイアウォールなどのさまざまな保護のために AWS WAF AWS Shield Advanced、複数のアカウントとリソースにわたる管理とメンテナンスタスクを簡素化します。 AWS Network Firewall Firewall Manager を使用すると、保護を 1 回設定するだけで、アカウントとリソースに (追加する新しいアカウントとリソースにも) その保護が自動的に適用されます。

Firewall Manager の詳細については、「AWS Firewall Manager」を参照してください。