AWS Shield Advanced をサブスクライブして追加の保護を適用するか否かの判断 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS Shield Advanced をサブスクライブして追加の保護を適用するか否かの判断

AWS Shield Advanced をサブスクライブするアカウントと追加の保護を適用する場合を判断するのに役立てるため、このセクションのシナリオを確認してください。Shield Advanced では、一括請求 (コンソリデーティッドビリング) の支払いアカウントで作成されたすべてのアカウントについて、1 つの月額サブスクリプション料金をお支払いいただきます。さらに、転送されたデータの GB (OUT) に基づく使用料金もお支払いいただきます。Shield Advanced の料金については、「AWS Shield Advanced の料金」を参照してください。

Shield Advanced でアプリケーションとそのリソースを保護するには、アプリケーションを管理するアカウントを Shield Advanced にサブスクライブし、アプリケーションのリソースに保護を追加します。アカウントのサブスクライブとリソースの保護については、「AWS Shield Advanced を設定する」を参照してください。

Shield Advanced サブスクリプションと AWS WAF コスト

Shield Advanced のサブスクリプションは、Shield Advanced で保護するリソースの標準 AWS WAF 機能を使用する際の費用を負担します。Shield Advanced の保護でカバーされる標準の AWS WAF 料金は、保護パック (ウェブ ACL) あたりのコスト、ルールあたりのコスト、およびウェブリクエスト検査の 100 万件のリクエストあたりの基本料金です (最大で 1,500 WCU およびデフォルト本体サイズ)。

Shield Advanced 自動アプリケーションレイヤー DDoS 緩和を有効にすると、150 個の保護パック (ウェブ ACL) キャパシティユニット (WCU) はルールグループに追加されます。これらの WCU は、保護パック (ウェブ ACL) 内の WCU の使用量に対してカウントされます。詳細についてはShield Advanced によるアプリケーションレイヤー DDoS 自動緩和 Shield Advanced ルールグループによるアプリケーションレイヤーの保護、およびAWS WAF の ウェブ ACL キャパシティユニット (WCU)を参照してください。

Shield Advanced を使用して保護していないリソースの AWS WAF の使用は、Shield Advanced へのサブスクリプションではカバーされません。また、保護対象リソースの標準外の追加 AWS WAF 費用もカバーされません。標準外の AWS WAF 費用の例としては、Bot Control、CAPTCHA ルールアクション、1,500 個以上の WCU を使用するウェブ ACL、デフォルトの本文サイズを超えるリクエスト本文の検査などがあります。詳細なリストは AWS WAF の料金ページでご覧いただけます。Shield Advanced へのサブスクリプションには、 Layer 7 Anti-DDoS Amazon Managed Rule グループへのアクセスが含まれます。サブスクリプションの一環として、Shield Advanced で保護された AWS WAF リソースに対するリクエストは 1 歴月で最大 500 億件になります。500 億件を超えるリクエストは、AWS Shield Advanced 料金ページに従って請求されます。

詳細情報および料金の例については、「Shield の料金」および「AWS WAF の料金」を参照してください。

Shield Advanced サブスクリプションの請求

AWS Channel Reseller の場合は、情報とガイダンスについて、アカウントチームにお問い合わせください。この請求に関する情報は、AWS Channel Resellers ではないお客様を対象としています。

他のすべてについては、次のサブスクリプションと請求のガイドラインが適用されます。

  • AWS Organizations 組織のメンバーであるアカウントの場合、AWS は、支払者アカウント自体がサブスクライブしているかどうかにかかわらず、組織の支払者アカウントに対して Shield Advanced サブスクリプションを請求します。

  • 同じ AWS Organizations 一括請求 (コンソリデーティッドビリング) アカウントファミリー に属する複数のアカウントをサブスクライブする場合、1 つのサブスクリプション料金はファミリー内のすべてのサブスクライブアカウントに対するものです。組織は、すべての AWS アカウント とそのすべてのリソースを所有している必要があります。

  • 複数の組織のために複数のアカウントをサブスクライブする場合でも、すべてを所有しているのであれば、すべての組織、アカウント、リソースのサブスクリプション料金の支払いを引き続き 1 回で行うことができます。アカウントマネージャーまたは AWS サポートに問い合わせて、1 つを除くすべての組織の AWS Shield Advanced サブスクリプション料金の免除をリクエストしてください。

詳細な料金情報と例については、「AWS Shield の料金表」を参照してください。

保護するアプリケーションの特定

次のいずれかが必要なアプリケーションには、Shield Advanced 保護を実装することを検討してください。

  • アプリケーションのユーザーに保証された可用性。

  • DDoS 攻撃によってアプリケーションが影響を受ける場合における、DDoS 緩和のエキスパートへの迅速なアクセス。

  • アプリケーションが DDoS 攻撃の影響を受けている可能性があることの AWS による認識、および攻撃に関する AWS からの通知とセキュリティチームまたはオペレーションチームへのエスカレーション。

  • クラウドコストの予測可能性 (DDoS 攻撃が AWS のサービスの利用に影響を与える場合を含む)。

アプリケーションまたはそのリソースが上記のいずれかを必要とする場合は、関連アカウントのサブスクリプションを作成することを検討してください。

保護するリソースの特定

サブスクライブした各アカウントについて、次のいずれかの特性を持つ各リソースに Shield Advanced 保護を追加することを検討してください。

  • このリソースは、インターネット上の外部ユーザーにサービスを提供します。

  • リソースはインターネットに公開されます。また、重要なアプリケーションの一部でもあります。インターネット上のユーザーがアクセスするかどうかにかかわらず、公開されているすべてのリソースを検討してください。

  • リソースは AWS WAF ウェブ ACL によって保護されています。

リソースの保護の作成と管理の詳細については、「AWS Shield Advanced でのリソース保護」を参照してください。

さらに、このガイドの推奨事項は、DDoS レジリエンシーを考慮してアプリケーションを設計し、最適な保護を実現するために Shield Advanced の機能を適切に設定するのに役立ちます。