AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
AWS リージョンの AWS Shield 緩和ロジック
このページでは、Shield イベント緩和ロジックが AWS リージョンでの仕組みについて説明します。
AWS リージョンで起動されるリソースは、Shield リソースレベルの検出によって配置された AWS Shield DDoS 緩和システムによって保護されます。リージョンリソースには、Elastic IP (EIP)、クラシックロードバランサー、アプリケーションロードバランサーなどがあります。
緩和を実施する前に、Shield はターゲットリソースとその容量を特定します。Shield は、キャパシティを使用して、緩和がリソースに転送できる最大合計トラフィックを決定します。アクセスコントロールリスト(ACL)および緩和策内のその他のシェーパによって、既知の DDoS 攻撃ベクトルに一致するトラフィックや、大量の受信が予想されないトラフィックなど、一部のトラフィックで許可されるボリュームが減少する可能性があります。これにより、UDP リフレクション攻撃や TCP SYN フラグまたは FIN フラグを持つ TCP トラフィックに対して、緩和によって許可されるトラフィック量がさらに制限されます。
Shield は、リソースタイプごとにキャパシティを決定し、緩和を別々に配置します。
-
Amazon EC2 インスタンス、または Amazon EC2 インスタンスにアタッチされている EIP の場合、Shield はインスタンスタイプおよびその他のインスタンス属性 (インスタンスで拡張ネットワーキングが有効になっているかどうかなど) に基づいて容量を計算します。
-
Application Load Balancer または Classic Load Balancer の場合、Shield はロードバランサーのターゲットノードごとに個別に容量を計算します。これらのリソースに対する DDoS 攻撃の緩和は、Shield DDoS 緩和とロードバランサーによる自動スケーリングの組み合わせによって提供されます。Shield Response Team (SRT) がApplication Load Balancer またはClassic Load Balancer のリソースに対する攻撃に従事している場合、追加の保護対策としてスケーリングを加速する可能性があります。
-
Shield は、基盤となる AWS インフラストラクチャの利用可能な容量に基づいて、一部の AWS リソースの容量を計算します。これらのリソースタイプには、Network Load Balancer (NLB) と、Gateway Load Balancer または AWS Network Firewall を介してトラフィックをルーティングするリソースが含まれます。
注記
Shield Advanced で保護されている EIP をアタッチして、ネットワークロードバランサーを保護します。SRT と連携して、基盤となるアプリケーションの予想されるトラフィックと容量に基づくカスタム緩和を構築できます。
Shield が緩和策を設定すると、Shield が緩和ロジックで定義した初期レート制限が、すべての Shield DDoS 緩和システムに等しく適用されます。たとえば、Shield が 100,000 パケット/秒 (pps) の制限で緩和を設定した場合、最初はすべてのロケーションで 100,000 pps を許可します。次に、Shield は継続的に緩和メトリクスを集約してトラフィックの実際の比率を決定し、その比率を使用して各ロケーションのレート制限を調整します。これにより、誤検出を防ぎ、緩和が過度に許容されないようにします。
