Elastic Load Balancing (BP6) - AWS DDoSレジリエンシーのベストプラクティス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Elastic Load Balancing (BP6)

大規模なDDoS攻撃は、単一の Amazon EC2インスタンスの容量を圧倒する可能性があります。Elastic Load Balancing (ELB) を使用すると、多くのバックエンドインスタンスにトラフィックを分散することで、アプリケーションの過負荷のリスクを減らすことができます。Elastic Load Balancing は自動的にスケーリングできるため、フラッシュの群集やDDoS攻撃など、予期しない余分なトラフィックがある場合に、より大きなボリュームを管理できます。Amazon 内に構築されたアプリケーションの場合VPC、アプリケーションタイプに応じて、Application Load Balancer (ALB)、Network Load Balancer ()、Classic Load Balancer (NLB) の 3 つのタイプELBsを考慮する必要がありますCLB。 Load Balancer

ウェブアプリケーションの場合、Application Load Balancer を使用してコンテンツに基づいてトラフィックをルーティングし、適切な形式のウェブリクエストのみを受け入れることができます。Application Load Balancer は、SYNフラッドDDoS攻撃やUDPリフレクション攻撃など、多くの一般的な攻撃をブロックし、攻撃からアプリケーションを保護します。Application Load Balancer は、これらのタイプの攻撃が検出されると、追加のトラフィックを吸収するように自動的にスケーリングします。インフラストラクチャレイヤー攻撃によるスケーリングアクティビティは、お客様にとって AWS 透過的であり、請求には影響しません。

Application Load Balancer によるウェブアプリケーションの保護の詳細については、「Application Load Balancer の開始方法」を参照してください。

HTTP/HTTPS 以外のアプリケーションでは、Network Load Balancer を使用して、超低レイテンシーでトラフィックをターゲット (Amazon EC2インスタンスなど) にルーティングできます。Network Load Balancer の重要な考慮事項の 1 つは、有効なリスナーのロードバランサーに到達する TCPSYNまたは UDPトラフィックは、吸収されずにターゲットにルーティングされることです。ただし、TCP接続を終了する TLSリスナーには適用されません。TCP リスナーを備えた Network Load Balancer では、SYN洪水を防ぐために Global Accelerator をデプロイすることをお勧めします。

Shield Advanced を使用して、Elastic IP アドレスDDoSの保護を設定できます。Elastic IP アドレスがアベイラビリティーゾーンごとに Network Load Balancer に割り当てられると、Shield Advanced は Network Load Balancer トラフィックに関連するDDoS保護を適用します。

Network Load Balancer による TCPおよびUDPアプリケーションの保護の詳細については、「Network Load Balancer の開始方法」を参照してください。 Load Balancer

注記

セキュリティグループの設定によっては、セキュリティを使用して リソースをグループ化し、接続追跡を使用してトラフィックに関する情報を追跡する必要があります。これは、追跡される接続の数が制限されるため、ロードバランサーが新しい接続を処理する能力に影響を与える可能性があります。 

任意の IP アドレス ( 0.0.0.0/0や など::/0) からのトラフィックを受け入れるイングレスルールを含むが、応答トラフィックを許可する対応するルールがないセキュリティグループ設定では、セキュリティグループは接続追跡情報を使用して応答トラフィックの送信を許可します。攻撃が発生した場合DDoS、追跡される接続の最大数を使い果たす可能性があります。パブリック向け Application Load Balancer または Classic Load Balancer のDDoS耐障害性を向上させるには、ロードバランサーに関連付けられたセキュリティグループが接続追跡 (追跡されていない接続) を使用しないように設定されていることを確認し、トラフィックフローが接続追跡制限の対象にならないようにします。 

そのためには、 インバウンドルールが任意の IP アドレス (0.0.0.0/0 または ::/0) からのTCPフローを受け入れることを許可するルールでセキュリティグループを設定します。 および は、このリソースがすべてのポート (0~65535::/0) の応答トラフィック (任意の IP アドレス0.0.0.0/0または のアウトバウンド範囲を許可) を送信できるようにするアウトバウンド方向に対応するルールを追加します。 セキュリティグループルールに基づいてレスポンストラフィックが許可されるようにします。 追跡情報ではなく 。この設定では、 Classic および Application Load Balancer は、ロードバランサーノードへの新しい接続の確立に影響を与える可能性のある、エグゼート接続の追跡制限の対象ではありません。 と では、DDoS攻撃発生時のトラフィックの増加に基づいてスケーリングできます。追跡されていない接続の詳細については、以下を参照してください。 セキュリティグループ接続の追跡: 追跡されていない接続

セキュリティグループ接続の追跡を回避すると、DDoSトラフィックがセキュリティグループで許可されているソースから発信される場合にのみ役立ちます。DDoSセキュリティグループで許可されていないソースからのトラフィックは、接続の追跡には影響しません。このような場合、接続の追跡を避けるためにセキュリティグループを再設定する必要はありません。例えば、セキュリティグループの許可リストが、企業のファイアウォールや信頼できる送信や IPs など、高い信頼度を持つ IP VPN 範囲で構成されている場合などですCDNs。