AWS Shield - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Shield

Distributed Denial of Service (DDoS) 攻撃から保護することは、インターネットに直接接続するアプリケーションにとって極めて重要です。でアプリケーションを構築する場合 AWS、 AWS が提供する保護を追加料金なしで利用できます。さらに、 AWS Shield Advanced マネージド脅威保護サービスを使用して、DDoS 検出、緩和、対応機能を追加してセキュリティ体制を改善できます。

AWS は、インターネット上の不正行為者に対する防御において高可用性、セキュリティ、回復性を確保するためのツール、ベストプラクティス、およびサービスを提供することに全力を注いでいます。このガイドは、IT 関連事項の意思決定者やセキュリティエンジニアが、Shield と Shield Advanced を使用して DDoS 攻撃や他の外部の脅威からアプリケーションをより適切に保護する方法を理解できるように提供されています。

でアプリケーションを構築すると AWS、UDP リフレクション攻撃や TCP SYN フラッドなどの一般的なボリューメトリック DDoS 攻撃ベクトル AWS に対して、 による自動保護が提供されます。これらの保護を活用して、DDoS レジリエンシーのためのアーキテクチャを設計および設定 AWS することで、 で実行するアプリケーションの可用性を確保できます。

このガイドでは、DDoS レジリエンシーを実現するためのアプリケーションアーキテクチャの設計、作成、および設定に役立つ推奨事項について説明します。このガイドで提供されるベストプラクティスに準拠するアプリケーションは、大規模な DDoS 攻撃や広範囲の DDoS 攻撃ベクトルによってターゲットとされた場合に、改善された可用性の維持の恩恵を受けることができます。さらに、このガイドでは、Shield Advanced を使用して、重要なアプリケーション向けに最適化された DDoS 保護体制を実装する方法について説明します。これには、顧客に一定レベルの可用性が保証されているアプリケーションや、DDoS イベント AWS 中に からの運用サポートを必要とするアプリケーションが含まれます。

セキュリティは、 AWS とお客様の間で共有される責任です。責任共有モデルでは、この責任がクラウドセキュリティおよびクラウドのセキュリティとして説明されています。

  • クラウドのセキュリティ – AWS は、 で AWS サービスを実行するインフラストラクチャを保護する責任があります AWS クラウド。 AWS また、 は、お客様が安全に使用できるサービスも提供します。セキュリティの有効性は、AWS コンプライアンスプログラムの一環として、サードパーティーの審査機関によって定期的にテストおよび検証されています。AWSServiceRoleForAWSShield に適用されるコンプライアンスプログラムについては、「コンプライアンスプログラムによる対象範囲内のAWS のサービス」を参照してください。

  • クラウド内のセキュリティ – お客様の責任は、使用する AWS サービスによって決まります。また、お客様は、お客様のデータの機密性、組織の要件、および適用可能な法律および規制などの他の要因についても責任を担います。

図は、水平に分割された長方形を示しています。上半分のタイトルは [カスタマー: クラウド「内の」セキュリティの責任] であり、下半分のタイトルは [AWS: クラウド「の」セキュリティに対する責任] です。お客様用の上半分には 4 つの層が含まれています。一番上は [Customer data] (顧客データ) です。2 つ目は、[Platform, applications, identity and access management] (プラットフォーム、アプリケーション、アイデンティティ、およびアクセス管理) です。3 つ目は、[Operating system, network and firewall configuration] (オペレーティングシステム、ネットワーク、ファイアウォールの設定) です。お客様のエリアの第 4 層と最下層は 3 つのセクションに分割され、隣り合って表示されます。これらの左側には、[Client-side data, encryption and data integrity, authentication] (クライアント側のデータ、暗号化とデータの整合性、認証) があります。真ん中は、[Server-side encryption (file system and/or data)] (サーバー側の暗号化 (ファイルシステムやデータ)) です。右側には、[Networking traffic protection (encryption, integrity, identity)] (ネットワークトラフィック保護 (暗号化、整合性、アイデンティティ)) があります。これで、図の上半分のお客様に関する内容は終わりです。図の下 AWS 半分には、Software というタイトルの階層が上部と下に、Hardware/AWS global インフラストラクチャというタイトルの階層が含まれています。ソフトウェアの階層は、[Compute] (コンピューティング)、[Storage] (ストレージ)、[Database] (データベース)、[Networking] (ネットワーク) という 4 つのサブセクションに分割されており、それぞれが隣り合っています。ハードウェアの階層は、[Regions] (リージョン)、[Availability Zones] (アベイラビリティゾーン)、[edge locations] (エッジロケーション) という 3 つのサブセクションに分割されており、それぞれが隣り合っています。