DDoS 対策のテストとデプロイ - AWS WAF、 AWS Firewall Manager AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「コンソールの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DDoS 対策のテストとデプロイ

機能をデプロイする前に、 AWS WAF 分散サービス拒否 (DDoS) 防止を設定してテストする必要があります。このセクションは設定とテストの一般的なガイダンスを提供しますが、実行する具体的なステップは、ニーズ、リソース、および受け取るウェブリクエストによって異なります。

この情報は、AWS WAF 保護のテストとチューニング で提供されているテストおよび調整に関する一般情報とは別です。

注記

AWS マネージドルールは、一般的なウェブ脅威から保護するように設計されています。ドキュメントに従って使用すると、 AWS マネージドルールルールグループはアプリケーションに別のセキュリティレイヤーを追加します。ただし、 AWS マネージドルールルールグループは、選択した AWS リソースによって決定されるセキュリティ責任に代わるものではありません。責任共有モデルを参照して、 のリソースが適切に保護 AWS されていることを確認します。

本番稼働トラフィックのリスク

トラフィックへの潜在的な影響に納得がいくまで、実装をステージング環境またはテスト環境でテストおよび調整します。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。

このガイダンスは、 AWS WAF 保護パック (ウェブ ACL)、ルール、およびルールグループを作成および管理する方法を一般的に認識しているユーザーを対象としています。これらのトピックは、このガイドの前のセクションでカバーされています。

AWS WAF 分散サービス拒否 (DDoS) 防止実装を設定してテストするには

これらのステップを最初にテスト環境で実行し、次に本番環境で実行します。

  1. AWS WAF 分散サービス拒否 (DDoS) 防止マネージドルールグループをカウントモードに追加する
    注記

    このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「AWS WAF 料金」を参照してください。

    AWS マネージドルールルールグループAWSManagedRulesAntiDDoSRuleSetを新規または既存の保護パック (ウェブ ACL) に追加し、現在の保護パック (ウェブ ACL) の動作を変更しないように設定します。このルールグループのルールとラベルの詳細については、「AWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ」を参照してください。

    • マネージドルールグループを追加する際には、それを編集し、次の手順を実行します。

      • ルールグループ設定 ペインで、ウェブトラフィックの DDoS 対策アクティビティを実行するために必要な詳細を指定します。詳細については、「DDoS 対策マネージドルールグループを保護パック (ウェブ ACL) に追加する」を参照してください。

      • [Rules] (ルール) ペインで、[Override all rule actions] (すべてのルールアクションをオーバーライド) ドロップダウンを開いて、[Count] を選択します。この設定では、 AWS WAF は、ルールグループ内のすべてのルールに対してリクエストを評価し、その結果の一致のみをカウントしつつ、引き続きリクエストにラベルを追加します。詳細については、「ルールグループ内のルールアクションのオーバーライド」を参照してください。

        このオーバーライドを使用すると、DDoS 対策マネージドルールの潜在的な影響をモニタリングして、サイレントブラウザチャレンジを処理できない URI の正規表現を拡張するなど、変更を加えるかどうかを判断できます。

    • トラフィックを許可するルールの直後に、できるだけ早く評価されるようにルールグループを配置します。ルールは昇順の優先順位で評価されます。コンソールは、ルールリストの最上部から順番を設定します。詳細については、「ルールの優先度を設定する」を参照してください。

  2. 保護パック (ウェブ ACL) のサンプリング、ログ記録、およびメトリクスの有効化

    必要に応じて、保護パック (ウェブ ACL) のログ記録、Amazon Security Lake データ収集、リクエストサンプリング、Amazon CloudWatch メトリクスを設定します。これらの可視化ツールを使用して DDoS 対策マネージドルールグループとトラフィックとのインタラクションをモニタリングできます。

  3. 保護パック (ウェブ ACL) をリソースに関連付ける

    保護パック (ウェブ ACL) がテストリソースに関連付けられていない場合は、関連付けます。詳細については、「AWS リソースとの保護の関連付けまたは関連付け解除」を参照してください。

  4. トラフィックと DDoS 対策ルールの一致をモニタリングする

    通常のトラフィックがフローしていることと、DDoS 対策マネージドルールグループのルールが一致するウェブリクエストにラベルを追加していることを確認します。ログにラベルが表示され、Amazon CloudWatch メトリクスで DDoS 対策とラベルのメトリクスを確認できます。ログでは、ルールグループでカウントするようにオーバーライドしたルールが、カウントに設定された action と、オーバーライドした設定済のルールアクションを示す overriddenAction とともに、ruleGroupList に表示されます。

  5. DDoS 対策ウェブリクエストの処理をカスタマイズする

    必要に応じて、リクエストを明示的に許可またはブロックする独自のルールを追加して、DDoS 対策ルールがそのリクエストを処理する方法を変更します。

    例えば、DDoS 対策ラベルを使用して、リクエストを許可またはブロックしたり、リクエスト処理をカスタマイズしたりできます。DDoS 対策マネージドルールグループの後にラベル一致ルールを追加して、適用する処理のためにラベル付きリクエストをフィルタリングできます。テスト後、関連する DDoS 対策ルールをカウントモードで維持し、カスタムルールでリクエストの処理に関する決定を維持します。

  6. テストルールを削除し、DDoS 対策設定を構成する

    テスト結果を確認して、モニタリングのみのためにカウントモードで保持する DDoS 対策ルールを決定します。アクティブな保護で実行するルールについては、保護パック (ウェブ ACL) ルールグループ設定でカウントモードを無効にして、設定されたアクションを実行できるようにします。これらの設定を確定したら、本番環境用に作成したカスタムルールを保持しながら、一時的なテストラベル一致ルールを削除します。DDoS 対策設定に関するその他の考慮事項については、「でのインテリジェントな脅威軽減のベストプラクティス AWS WAF」を参照してください。

  7. モニタリングおよびチューニング

    ウェブリクエストが希望どおりに処理されていることを確認するには、使用することを希望する DDoS 対策機能を有効にした後、トラフィックを注意深くモニタリングします。ルールグループに対するルールカウントの上書きと独自のルールを使用して、必要に応じて動作を調整します。