AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
TCP および UDP アプリケーションの Shield Advanced DDoS 耐障害性アーキテクチャの例
この例は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは Elastic IP (EIP) アドレスを使用する AWS リージョンの TCP および UDP アプリケーション向けの DDoS に対する耐性の高いアーキテクチャを示しています。
この一般的な例に従って、次のアプリケーションタイプの DDoS レジリエンシーを改善できます。
TCP または UDP アプリケーション。ゲーム、IoT、およびボイスオーバー IP に使用されるアプリケーションはその一例です。
静的 IP アドレスを必要とするウェブアプリケーション、または Amazon CloudFront がサポートしていないプロトコルを使用するウェブアプリケーション。例えば、アプリケーションで、エンドユーザーがファイアウォール許可リストに追加でき、他の AWS のお客様が使用していない IP アドレスが必要な場合があります。
Amazon Route 53 および AWS Global Accelerator を導入することで、これらのアプリケーションタイプの DDoS レジリエンシーを改善できます。これらのサービスは、エンドユーザーをアプリケーションにルーティングでき、AWS グローバルエッジネットワークを介してルーティングされるエニーキャストである静的 IP アドレスをアプリケーションに提供できます。Global Accelerator 標準アクセラレーターは、エンドユーザーのレイテンシーを最大 60% 改善できます。ウェブアプリケーションがある場合は、Application Load Balancer でアプリケーションを実行し、AWS WAF ウェブ ACL で Application Load Balancer を保護することで、ウェブアプリケーションレイヤーのリクエストフラッドを検出して緩和できます。
アプリケーションの構築後、Shield Advanced を使用して、Route 53 ホストゾーン、Global Accelerator 標準アクセラレーター、および Application Load Balancer を保護します。Application Load Balancer を保護する場合、AWS WAF ウェブ ACL を関連付けて、それらのレートベースのルールを作成できます。新規または既存の Route 53 ヘルスチェックを関連付けることで、Global Accelerator 標準アクセラレーターと Application Load Balancerの両方のために、SRT とのプロアクティブエンゲージメントを設定できます。オプションの詳細については、「AWS Shield Advanced でのリソース保護」を参照してください。
次の図は、TCP および UDP アプリケーションの DDoS に対する耐性が高いアーキテクチャの例を示しています。
このアプローチがアプリケーションに提供するメリットには、次のものがあります。
-
最大の既知のインフラストラクチャレイヤー (レイヤー 3 およびレイヤー 4) の DDoS 攻撃に対する保護。攻撃の量によって AWS から上流で輻輳が発生した場合、障害はそのソースの近くで分離され、正当なエンドユーザーへの影響は最小限に抑えられます。
-
DNS アプリケーションレイヤー攻撃に対する保護 (Route 53 は権威 DNS レスポンスを処理する責任があるため)。
-
ウェブアプリケーションがある場合、このアプローチはウェブアプリケーションレイヤーのリクエストのフラッドに対する保護を提供します。AWS WAF ウェブ ACL で設定するレートベースのルールは、ルールで許可されているよりも多くのリクエストを送信しているときに、ソース IP をブロックします。
-
Shield Response Team (SRT) とのプロアクティブなエンゲージメント (対象リソースのためにこのオプションを有効にした場合)。Shield Advanced がアプリケーションのヘルスに影響を与えるイベントを検出すると、SRT は、提供された連絡先情報を使用して、お客様のセキュリティチームまたはオペレーションチームとプロアクティブに対応します。
