一般的なウェブアプリケーションの Shield Advanced DDoS 耐障害性アーキテクチャの例 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

一般的なウェブアプリケーションの Shield Advanced DDoS 耐障害性アーキテクチャの例

このページでは、AWS ウェブアプリケーションが DDoS 攻撃に対する耐障害性を最大化するためのアーキテクチャの例を提供します。

任意の AWS リージョンでウェブアプリケーションを構築し、AWS がそのリージョンで提供する検出および緩和機能から DDoS 自動保護を受けることができます。

この例は、Classic Load Balancer、Application Load Balancer、Network Load Balancer、AWS Marketplace ソリューション、または独自のプロキシレイヤーなどのリソースを使用して、エンドユーザーをウェブアプリケーションにルーティングするアーキテクチャ向けです。これらのウェブアプリケーションリソースとエンドユーザーの間に Amazon Route 53 ホストゾーン、Amazon CloudFront ディストリビューション、および AWS WAF ウェブ ACL を挿入することで、DDoS レジリエンシーを向上させることができます。これらの挿入により、アプリケーションのオリジンが難読化され、エンドユーザーにより近いリクエストを処理し、アプリケーションレイヤーのリクエストのフラッドを検出して緩和できます。CloudFront および Route 53 を使用してエンドユーザーに静的または動的コンテンツを提供するアプリケーションは、インフラストラクチャレイヤー攻撃をリアルタイムで緩和する、統合された完全インライン DDoS 緩和システムによって保護されます。

これらのアーキテクチャの改善を実施することにより、Shield Advanced を使用して Route 53 ホストゾーンと CloudFront ディストリビューションを保護できます。CloudFront ディストリビューションを保護する場合、Shield Advanced は、AWS WAF ウェブ ACL を関連付けてレートベースのルールを作成し、オプションでアプリケーションレイヤー DDoS 自動緩和またはプロアクティブな関与を有効にするようユーザーに求めます。プロアクティブなエンゲージメントとアプリケーションレイヤー DDoS 自動緩和では、リソースに関連付ける Route 53 ヘルスチェックを使用します。これらのオプションの詳細については、「AWS Shield Advanced でのリソース保護」を参照してください。

次の参照図は、ウェブアプリケーション用のこの DDoS 回復アーキテクチャを示しています。

この図には「AWS cloud」というタイトルの長方形が示されており、左側にユーザーのグループがあります。クラウドの長方形の内側には、他の 2 つの長方形が隣り合っています。左側の長方形には AWS Shield Advanced というタイトルが付けられており、右側の長方形には VPC というタイトルが付けられています。左側の AWS Shield Advanced 三角形には、垂直に積み重ねられた 3 つの AWS アイコンが含まれています。上から順に、アイコンは Amazon Route 53、Amazon CloudFront、および AWS WAF です。CloudFront のアイコンには、AWS WAF のアイコンとの間に双方向の矢印があります。ユーザーグループには、右に向かって水平に伸びる矢印があり、分岐して、Route 53 と CloudFront のアイコンを指しています。Shield Advanced の長方形の右側にある VPC の長方形には、隣り合っている 2 つのアイコンが含まれています。これらのアイコンは、左が Elastic Load Balancing、右が Amazon Elastic Compute Cloud です。CloudFront アイコンには、右側に向けて水平に突き出ている矢印があり、Elastic Load Balancing アイコンにつながっています。Elastic Load Balancing アイコンには、右側に向けて水平に突き出ている矢印があり、Amazon EC2 アイコンにつながっています。そのため、ユーザーリクエストは Route 53 と CloudFront に送信されます。CloudFront は、AWS WAF とインタラクションし、ロードバランサーにリクエストを送信します。ロードバランサーは、Amazon EC2 にリクエストを送信します。

このアプローチがウェブアプリケーションに提供するメリットには、次のものがあります。

  • 頻繁に使用されるインフラストラクチャレイヤー (レイヤー 3 およびレイヤー 4) の DDoS 攻撃に対する保護。検出の遅延はありません。さらに、リソースが頻繁にターゲットになっている場合、Shield Advanced はより長期にわたって緩和策を実施します。また、Shield Advanced は、Network ACL (NACL) から推測されるアプリケーションコンテキストを使用して、望ましくないトラフィックがさらにアップストリームするのをブロックします。これにより、ソースにより近い障害を隔離でき、正当なエンドユーザーへの影響が最小限に抑えられます。

  • TCP SYN フラッドに対する保護。CloudFront および Route 53 と統合された DDoS 緩和システムは、新しい接続試行にチャレンジを実施し、AWS Global Accelerator 正当なエンドユーザーのみを処理する TCP SYN プロキシ機能を提供します。

  • DNS アプリケーションレイヤー攻撃に対する保護 (Route 53 は権威 DNS レスポンスを処理する責任があるため)。

  • ウェブアプリケーションレイヤーリクエストのフラッドに対する保護。AWS WAF ウェブ ACL で設定するレートベースのルールは、ルールで許可されているよりも多くのリクエストを送信しているときに、ソース IP をブロックします。

  • CloudFront ディストリビューションのアプリケーションレイヤー DDoS 自動緩和機能 (このオプションを有効にした場合)。Shield Advanced は自動 DDoS 軽減機能により、既知の DDoS ソースからのリクエストの量を制限する、ディストリビューションに関連付けられた AWS WAF ウェブ ACL でレートベースのルールを維持します。さらに、Shield Advanced は、アプリケーションのヘルスに影響を及ぼすイベントを検出すると、ウェブ ACL の緩和ルールを自動的に作成、テスト、および管理します。

  • Shield Response Team (SRT) とのプロアクティブなエンゲージメント (このオプションを有効にした場合)。Shield Advanced がアプリケーションのヘルスに影響を与えるイベントを検出すると、SRT は、提供された連絡先情報を使用して、お客様のセキュリティチームまたはオペレーションチームとプロアクティブに対応します。SRT はトラフィックのパターンを分析し、AWS WAF ルールを更新して攻撃をブロックできます。