セキュリティグループとネットワーク ACLs (BP5）

Amazon Virtual Private Cloud (Amazon VPC) では、 の論理的に分離されたセクションをプロビジョニングできます。 AWS クラウド ここでは、定義した仮想ネットワークで AWS リソースを起動できます。

セキュリティグループとネットワークACLsは、 内の AWS リソースへのアクセスを制御できる点で似ていますVPC。ただし、セキュリティグループを使用すると、インバウンドトラフィックとアウトバウンドトラフィックをインスタンスレベルで制御できますが、ネットワークACLsはVPCサブネットレベルで同様の機能を提供します。セキュリティグループまたはネットワーク の使用には追加料金はかかりませんACLs。

インスタンスの起動時にセキュリティグループを指定するか、後でインスタンスをセキュリティグループに関連付けるかを選択できます。セキュリティグループへのすべてのインターネットトラフィックは、トラフィックを許可する許可ルールを作成しない限り、暗黙的に拒否されます。

例えば、Elastic Load Balancer の背後に Amazon EC2インスタンスがある場合、インスタンス自体がパブリックにアクセス可能である必要はなく、プライベートIPsのみを持つ必要があります。代わりに、ターゲットグループサブネットのネットワークアクセスコントロールリスト () と組み合わせて 0.0.0.0/0 へのアクセスを許可するセキュリティグループルールを使用して、Elastic Load Balancing に必要なNACLターゲットリスナーポートへのアクセスを Elastic Load Balancer に提供し、Elastic Load Balancing IP 範囲のみがインスタンスと通信できるようにすることができます。 Elastic Load Balancing これにより、インターネットトラフィックが Amazon EC2インスタンスと直接通信できないため、攻撃者がアプリケーションについて学習し、アプリケーションに影響を与えることがより困難になります。

ネットワーク を作成するときにACLs、許可ルールと拒否ルールの両方を指定できます。これは、アプリケーションへの特定のタイプのトラフィックを明示的に拒否する場合に便利です。例えば、サブネット全体へのアクセスを拒否される IP アドレス (CIDR範囲）、プロトコル、送信先ポートを定義できます。アプリケーションがTCPトラフィックにのみ使用される場合は、すべてのUDPトラフィックを拒否するルールを作成することも、その逆を行うこともできます。このオプションは、DDoSソースIPsやその他の署名がわかっている場合に攻撃を軽減するための独自のルールを作成できるため、攻撃に対応するときに便利です。

にサブスクライブしている場合は AWS Shield Advanced、Elastic IP アドレスを保護されたリソースとして登録できます。DDoS 保護されたリソースとして登録されている Elastic IP アドレスに対する 攻撃は、より迅速に検出されるため、緩和までの時間が短縮される可能性があります。攻撃が検出されると、DDoS緩和システムはターゲットの Elastic IP アドレスACLに対応するネットワークを読み取り、サブネットレベルではなく AWS ネットワークボーダーに強制します。これにより、多くのインフラストラクチャレイヤーDDoS攻撃による影響のリスクが大幅に軽減されます。

DDoS 回復性を最適化ACLsするようにセキュリティグループとネットワークを設定する方法の詳細については、DDoS「攻撃対象領域を減らすことで攻撃に備える方法」を参照してください。

Elastic IP アドレスで Shield Advanced を保護されたリソースとして使用する方法の詳細については、「 をサブスクライブする AWS Shield Advanced」の手順を参照してください。