AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
Application Load Balancer のリソースレベルの DDoS 保護
リソースレベルの DDoS 保護 は、AWS WAF マネージドルールグループのデプロイ料金を発生させることなく、Application Load Balancer に即時の防御を追加します。この標準階層の DDoS 対策保護では、AWS 脅威インテリジェンスとトラフィックパターン分析を使用して Application Load Balancer を保護します。既知の悪意のあるソースを特定するために、DDoS 対策保護は直接クライアント IP アドレスと X-Forwarded-For (XFF) ヘッダーの両方のオンホストフィルタリングを実行します。既知の悪意のあるソースが特定されると、次の 2 つのモードのいずれかで保護がアクティブ化されます。
DDoS 下でアクティブ はデフォルトの保護モードであり、ほとんどのユースケースで推奨されます。
このモードでは、以下を行います。
-
高負荷条件または潜在的な DDoS イベントを検出すると、保護を自動的にアクティブ化します
-
攻撃条件中にのみ既知の悪意のあるソースからのトラフィックをレート制限します。
-
通常のオペレーション中の正当なトラフィックへの影響を最小限に抑えます
-
Application Load Balancer のヘルスメトリクスと AWS WAF レスポンスデータを使用して、保護をいつエンゲージするかを決定します。
常時オン はオプションモードであり、有効にすると常時アクティブになります。
このモードでは、以下を行います。
-
既知の悪意のあるソースに対する継続的な保護を維持します
-
既知の悪意のあるソースからのトラフィックをリアルタイムでレート制限します
-
XFF ヘッダーの悪意のある IP を使用した直接接続とリクエストの両方に保護を適用します
-
正当なトラフィックに大きな影響を与える可能性がありますが、最大限のセキュリティを提供します
既存の ウェブ ACL で標準 DDoS 保護を有効にします
ウェブ ACL を作成するとき、または Application Load Balancer に関連付けられた既存のウェブ ACL を更新するときに、DDoS 保護を有効にできます。
注記
Application Load Balancer に関連付けられている既存のウェブ ACL がある場合、DDoS 保護はデフォルトで DDoS モードでアクティブ で有効になります。
AWS WAF コンソールで DDoS 対策保護を有効にするには
AWS マネジメントコンソール にサインインして AWS WAF コンソール (https://console.aws.amazon.com/wafv2/homev2
) を開きます。 -
ナビゲーションペインで [ウェブ ACL] を選択し、Application Load Balancer に関連付けられているウェブ ACL を開きます。
-
[関連付けられた AWS リソース] を選択します。
-
リソースレベルの DDoS 保護 で、編集 を選択します。
-
次のいずれかのモードを選択します。
-
DDoS でアクティブ (推奨) - 保護は高負荷条件中でのみ機能します
-
常時オン - 既知の悪意のあるソースに対する常時オンの保護
-
-
[Save changes] (変更の保存) をクリックします。
注記
ウェブ ACL の作成については、「AWS WAF で保護パック (ウェブ ACL) を作成する」を参照してください。
Application Load Balancer のウェブ ACL リクエストコストを最適化するには
リソースレベルの保護を有効にするには、ウェブ ACL を Application Load Balancer に関連付ける必要があります。Application Load Balancer が設定のないウェブ ACL に関連付けられている場合、AWS WAF リクエストの料金は発生しませんが、 AWS WAF は CloudWatch メトリクスの Application Load Balancer に関するサンプルリクエストやレポートを提供しません。Application Load Balancer のオブザーバビリティ機能を有効にするには、次のアクションを実行できます。
-
DefaultActionのカスタムリクエストヘッダーでAllowアクションまたはBlockアクションを使用します。詳細については、「ノンブロッキングアクションのためのカスタムリクエストヘッダーの挿入」を参照してください。 -
任意のルールをウェブ ACL に追加します。詳細については、「AWS WAF ルール」を参照してください。
-
ログ記録の送信先を有効にします。詳細については、「保護パック (ウェブ ACL) のログ記録の設定」を参照してください。
-
ウェブ ACL を AWS Firewall Manager ポリシーに関連付けます。詳細については、「AWS WAF の AWS Firewall Manager ポリシーの作成」を参照してください。
AWS WAF は、これらの設定がないと、サンプルリクエストを提供したり、CloudWatch メトリクスを発行したりしません。
