AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
AWS WAF ウェブ ACL と Shield Advanced によるアプリケーションレイヤーの保護
このページでは、AWS WAF Web ACL と Shield Advanced がどのように連携して基本的なアプリケーション層の保護を作成するかについて説明します。
Shield Advanced でアプリケーションレイヤーリソースを保護するために、まず AWS WAF ウェブ ACL をリソースに関連付けます。AWS WAF はアプリケーションレイヤーリソースに転送される HTTP および HTTPS リクエストをモニタリングし、リクエストの特性に基づいてコンテンツへのアクセスを制御できるウェブアプリケーションファイアウォールです。リクエストの発信元、クエリ文字列とクッキーのコンテンツ、単一の IP アドレスからのリクエストのレートなどの要因に基づいて、リクエストをモニタリングおよび管理するウェブ ACL を設定できます。少なくとも、Shield Advanced 保護では、ウェブ ACL をレートベースのルールに関連付けて、各 IP アドレスのリクエストのレートを制限する必要があります。
関連付けられたウェブ ACL にレートベースのルールが定義されていない場合、Shield Advanced から少なくとも 1 つ定義するように求められます。レートベースのルールは、定義したしきい値を超えると、ソース IP からのトラフィックを自動的にブロックします。これらは、ウェブリクエストのフラッドからアプリケーションを保護するのに役立つとともに、DDoS 攻撃の可能性を示していることがあるトラフィックの急増についてアラートを出すことができます。
注記
レートベースのルールは、ルールがモニタリングしているトラフィックの急増に非常に迅速に応答します。このため、レートベースのルールは、攻撃だけでなく、Shield Advanced 検出によって、潜在的な攻撃も検出できます。このトレードオフは、攻撃パターンを完全に可視化するよりも防止を優先します。攻撃に対する防御の最前線として、レートベースのルールを使用することをお勧めします。
ウェブ ACL を設定すると、DDoS 攻撃が発生した場合、ウェブ ACL にルールを追加して管理することで緩和策を適用します。これは、直接行うことができるほか、Shield レスポンスチーム (SRT、Shield Response Team) のサポートを受けて、またはアプリケーションレイヤー DDoS 自動緩和を通じて自動的に行うこともできます。
重要
自動アプリケーションレイヤー DDoS 緩和も使用する場合は、アプリケーションレイヤー DDoS 自動緩和機能を使用するためのベストプラクティス。 でウェブ ACL を管理するためのベストプラクティスを参照してください。
ウェブリクエストのモニタリングおよび管理ルールの管理に AWS WAF を使用する方法については、「AWS WAF で保護パック (ウェブ ACL) を作成する」を参照してください。
