Application Load Balancer の統合 - Elastic Load Balancing
Amazon Application Recovery Controller (ARC)Amazon CloudFront + AWS WAFAWS Global AcceleratorAWS ConfigAWS WAF

Application Load Balancer の統合

Application Load Balancer アーキテクチャを最適化するには、他のいくつかの AWS サービスと統合して、アプリケーションのパフォーマンス、セキュリティ、可用性を向上させます。

Amazon Application Recovery Controller (ARC)

Amazon Application Recovery Controller (ARC) は、ロードバランサーのトラフィックを障害のあるアベイラビリティーゾーンから同じリージョン内の正常なアベイラビリティーゾーンに移行するのに役立ちます。ゾーンシフトを使用すると、アベイラビリティーゾーンの停電、ハードウェアの問題、またはソフトウェアの問題がアプリケーションで発生する可能性のある期間と重要度が軽減されます。

詳細については、「Application Load Balancer のゾーンシフト」を参照してください。

Amazon CloudFront + AWS WAF

Amazon CloudFront は、AWS を使用するアプリケーションのパフォーマンス、信頼性、および可用性を向上させるのに役立つウェブサービスです。CloudFront は、Application Load Balancer を使用するウェブアプリケーションの分散された単一のエントリポイントとして機能します。Application Load Balancer のリーチをグローバルに拡張することで、近くのエッジロケーションからユーザーを効率的に処理し、コンテンツ配信を最適化し、世界中のユーザーのレイテンシーを軽減できます。これらのエッジロケーションの自動コンテンツキャッシュにより、Application Load Balancer の負荷が大幅に軽減され、パフォーマンスとスケーラビリティが向上します。

Elastic Load Balancing コンソールで利用できるワンクリック統合は、推奨される AWS WAF セキュリティ保護を備えた CloudFront ディストリビューションを作成し、Application Load Balancer に関連付けます。AWS WAF 保護は、ロードバランサーに到達する前に一般的なウェブエクスプロイトをブロックします。CloudFront ディストリビューションとそれに対応するセキュリティダッシュボードには、コンソールのロードバランサーの [統合] タブからアクセスできます。詳細については、「Amazon CloudFront デベロッパーガイド」の「CloudFront セキュリティダッシュボードで AWS WAF セキュリティ保護を管理する」および aws.amazon.com/blogs の「Introducing CloudFront Security Dashboard, a Unified CDN and Security Experience」を参照してください。

セキュリティのベストプラクティスとして、CloudFront の AWS マネージドプレフィックスリストからのみインバウンドトラフィックを許可するようにインターネット向け Application Load Balancer のセキュリティグループを設定し、その他のインバウンドルールを削除します。詳細については、「Amazon CloudFront デベロッパーガイド」の「CloudFront マネージドプレフィックスリストを使用」、「リクエストにカスタム HTTP ヘッダーを追加するように CloudFront を設定する」、「特定のヘッダーを含むリクエストだけを転送するように Application Load Balancer を設定する」を参照してください。

注記

CloudFront は、米国東部(バージニア北部)us-east-1 リージョンの ACM 証明書のみをサポートします。Application Load Balancer に us-east-1 以外のリージョンに ACM 証明書で設定された HTTPS リスナーがある場合は、CloudFront オリジン接続を HTTPS から HTTP に変更するか、米国東部 (バージニア北部) リージョンに ACM 証明書をプロビジョニングして CloudFront ディストリビューションにアタッチする必要があります。

AWS Global Accelerator

アプリケーションの可用性、パフォーマンス、セキュリティを最適化するには、ロードバランサーのアクセラレーターを作成します。アクセラレーターは、AWS グローバルネットワーク経由で、最も近いリージョンの固定エンドポイントとして機能する静的 IP アドレスにトラフィックをクライアントに送信します。AWS Global Accelerator は、DDoS 攻撃によるアプリケーションのダウンタイムとレイテンシーを最小限に抑える Shield Standard によって保護されています。

詳細については、「AWS Global Accelerator デベロッパーガイド」の「ロードバランサーを作成するときにアクセラレーターを追加する」を参照してください。

AWS Config

ロードバランサーのモニタリングとコンプライアンスを最適化するには、AWS Config を設定します。AWS Config は、AWS アカウント内の AWS リソースの設定の詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。AWS Config は、監査、コンプライアンス、トラブルシューティングを効率化します。

詳細については、「AWS Config デベロッパーガイド」を参照してください。

AWS WAF

Application Load Balancer で AWS WAF を使用して、ウェブアクセスコントロールリスト (ウェブ ACL) のルールに基づいてリクエストを許可またはブロックできます。

デフォルトでは、ロードバランサーが AWS WAF から応答を取得できない場合、HTTP 500 エラーが返され、リクエストは転送されません。AWS WAF に接続できない場合でもロードバランサーからターゲットにリクエストを転送する必要があるときは、AWS WAF フェールオープンを有効にできます。

事前定義されたウェブ ACL

AWS WAF 統合を有効にするときは、事前定義されたルールを使って新しいウェブ ACL を自動作成する方法を選択できます。事前定義されたウェブ ACL には、最も一般的なセキュリティ脅威に対処するための保護を提供する 3 つの AWS マネージドルールが含まれています。

  • AWSManagedRulesAmazonIpReputationList - Amazon IP 評価リストルールグループは、通常、ボットやその他の脅威に関連付けられている IP アドレスをブロックします。詳細については「AWS WAF デベロッパーガイド」の「Amazon IP reputation list managed rule group」を参照してください。

  • AWSManagedRulesCommonRuleSet - コアルールセット (DCR) ルールグループは、OWTAK Top 10 で説明されている高リスクで一般的に発生する脆弱性の一部を含む、さまざまな脆弱性の悪用に対する保護を提供します。詳細については、「AWS WAFデベロッパーガイド」の「Core rule set (CRS) managed rule group」を参照してください。

  • AWSManagedRulesKnownBadInputsRuleSet - 既知の不正な入力ルールグループは、無効であることが判明しているリクエストパターンおよび脆弱性の悪用または発見に関連付けられているリクエストパターンをブロックします。詳細については、「AWS WAFデベロッパーガイド」の「Known bad inputs managed rule group」を参照してください。

詳細については、「AWS WAF デベロッパーガイド」の「AWS WAF でのウェブ ACL の使用」を参照してください。