ネットワークセキュリティディレクターの主な概念 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
検出結果のリファレンス

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

ネットワークセキュリティディレクターの主な概念

注記

AWS Shield ネットワークセキュリティディレクターはパブリックプレビューリリースであり、変更される可能性があります。

リソース

アプリケーショントラフィックを処理するコンピューティング、ネットワーキング、およびセキュリティリソース:

  • コンピューティング — Amazon Elastic Compute Cloud インスタンス

  • ネットワーキング — Application Load Balancer、Amazon API Gateway、Amazon CloudFront ディストリビューション、VPC サブネット、VPC Elastic Network Interface (ENI)

  • セキュリティ — AWS WAF ウェブ ACL、VPC セキュリティグループ、VPC ネットワークアクセスコントロールリスト (NACL)

結果

重要度レベルが NONE、 INFORMATIONAL、LOW、MEDIUM、HIGH、または CRITICAL であるネットワークセキュリティサービスの欠落または誤設定に関するアラート。 ネットワークセキュリティディレクターは、各リソースの設定と脅威インテリジェンスを評価することで検出結果を生成します。

緊急度

AWS ベストプラクティスと脅威インテリジェンスに基づく、潜在的なセキュリティイベントに対するリソースの脆弱性の尺度。重要度評価では、潜在的な脆弱性と既存の保護の両方を考慮します。リソースの重要度レベルは、最も重大な検出結果と一致するか、検出結果がない場合は「なし」と表示されます。

ネットワークトポロジ

リソース接続、インターネットへの公開、タグベースの関係を示すネットワークの視覚的表現。トポロジビューを使用して、リソースとその検出結果を調査します。

ネットワークセキュリティディレクターの検出結果を理解する

注記

AWS Shield ネットワークセキュリティディレクターはパブリックプレビューリリースであり、変更される可能性があります。

ネットワークセキュリティディレクターは、分析するリソースのタイプごとに特定の検出結果を生成します。これらの検出結果は、セキュリティの問題を特定し、適切なアクションを実行するのに役立ちます。次の表に、考えられるすべての検出結果をリソースタイプ別に一覧表示します。

リソースタイプ別のネットワークセキュリティディレクターの検出結果は
リソースタイプ 結果の説明
Application Load Balancer

  • CloudFront ディストリビューションの背後にありますが、インターネットにも公開されています

  • ボットからの保護がありません

  • DDoS アクティビティがあります

  • ファイアウォール保護がありません

  • 間違った設定のファイアウォールがあります

  • 未設定のファイアウォールがあります

  • リクエストフラッドから保護されていません

  • ウェブの脆弱性から保護されていません
Amazon API Gateway

  • ボットからの保護がありません

  • ファイアウォール保護がありません

  • 間違った設定のファイアウォールがあります

  • 未設定のファイアウォールがあります

  • リクエストフラッドから保護されていません

  • ウェブの脆弱性から保護されていません
Amazon CloudFront

  • ボットからの保護がありません

  • DDoS アクティビティがあります

  • ファイアウォール保護がありません

  • 間違った設定のファイアウォールがあります

  • 未設定のファイアウォールがあります

  • リクエストフラッドから保護されていません

  • ウェブの脆弱性から保護されていません
Amazon Elastic Compute Cloud (EC2) インスタンス

  • すべてのポートのすべての IP 範囲からのインバウンドアクセスを許可します

  • リモートデスクトッププロトコルポート (ポート 3389) のすべての IP 範囲からのインバウンドアクセスを許可します

  • SSH ポート (ポート 22) のすべての IP 範囲からのインバウンドアクセスを許可します

  • すべてのポートのすべての IP 範囲へのアウトバウンドアクセスを許可します

  • ファイアウォール保護のない Application Load Balancer の背後にあります

  • CloudFront ディストリビューションの背後にある Application Load Balancer の背後にありますが、インターネットにも公開されています

  • ファイアウォール保護のない CloudFront ディストリビューションの背後にあります

  • ボットからの保護がありません

  • リクエストフラッドから保護されていません

  • 間違った設定のファイアウォールの背後にあります

  • 未設定のファイアウォールの背後にあります

  • ウェブの脆弱性から保護されていないリソースの背後にあります
VPC セキュリティグループ

  • すべてのポートのすべての IP 範囲からのインバウンドアクセスを許可します

  • リモートデスクトッププロトコルポート (ポート 3389) のすべての IP 範囲からのインバウンドアクセスを許可します

  • SSH ポート (ポート 22) のすべての IP 範囲からのインバウンドアクセスを許可します

  • すべてのポートのすべての IP 範囲へのアウトバウンドアクセスを許可します
VPC ネットワークアクセスコントロールリスト (NACL)

  • すべてのポートのすべての IP 範囲からのインバウンドアクセスを許可します

  • リモートデスクトッププロトコルポート (ポート 3389) のすべての IP 範囲からのインバウンドアクセスを許可します

  • SSH ポート (ポート 22) のすべての IP 範囲からのインバウンドアクセスを許可します

  • すべてのポートのすべての IP 範囲へのアウトバウンドアクセスを許可します
AWS WAF ウェブ ACL

  • ボットアクティビティがあります

  • ボットからの保護がありません

  • 設定が間違っています

  • どのリソースにもアタッチされていません

  • リクエストフラッドから保護するように設定されていません

  • ルールがありません

  • ウェブの脆弱性から保護するように設定されていません