Shield Advanced を使用した Amazon EC2 インスタンスおよび Network Load Balancer の保護

このページでは、Amazon EC2 インスタンスと Network Load Balancer AWS Shield Advanced の保護を使用する方法について説明します。

Amazon EC2 インスタンスおよび Network Load Balancer を保護するには、まずこれらのリソースを Elastic IP アドレスにアタッチし、次に Shield Advanced で Elastic IP アドレスを保護します。

Elastic IP アドレスを保護すると、Shield Advanced は、それらがアタッチされているリソースを識別して保護します。Shield Advanced は、Elastic IP アドレスにアタッチされているリソースのタイプを自動的に識別し、そのリソースのために適切な検出および緩和策を適用します。これには、その Elastic IP アドレスに固有のネットワーク ACL を設定することが含まれます。 AWS リソースでの Elastic IP アドレスの使用の詳細については、Amazon Elastic Compute Cloud のドキュメントまたは Elastic Load Balancing のドキュメントのガイドを参照してください。

攻撃中、Shield Advanced はネットワーク ACLsを AWS ネットワークの境界に自動的にデプロイします。ネットワーク ACL がネットワークの境界にある場合、Shield Advanced はより大きな DDoS イベントに対する保護を提供できます。通常、ネットワーク ACL は Amazon VPC 内の Amazon EC2 インスタンスの近くで適用されます。ネットワーク ACL は、Amazon VPC とインスタンスが処理できるだけの大きさの攻撃を緩和できます。例えば、Amazon EC2 インスタンスに接続されたネットワークインターフェイスが最大 10 Gbps を処理できる場合、10 Gbps を超えるボリュームは遅くなり、そのインスタンスへのトラフィックをブロックする可能性があります。攻撃を受けている最中に、Shield Advanced はネットワーク ACL を AWS 境界に昇格させ、数テラバイトのトラフィックを処理できます。ネットワーク ACL は、典型的なネットワークの容量を超えてリソースを十分に保護することができます。ネットワーク ACL の詳細については、「ネットワーク ACL」を参照してください。

などの一部のスケーリングツールでは AWS Elastic Beanstalk、Elastic IP アドレスを Network Load Balancer に自動的にアタッチすることはできません。このような場合、Elastic IP アドレスを手動でアタッチする必要があります。