DDoS 対策マネージドルールグループを保護パック (ウェブ ACL) に追加する - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

DDoS 対策マネージドルールグループを保護パック (ウェブ ACL) に追加する

このセクションでは、AWSManagedRulesAntiDDoSRuleSet ルールグループを追加および設定する方法について説明します。

DDoS 対策マネージドルールグループを設定するには、DDoS 攻撃に対してルールグループがどれだけ機密であるかや、攻撃に参加している、または参加している可能性のあるリクエストに対してルールグループが実行するアクションを含む設定を指定します。この設定は、マネージドルールグループの通常の設定に追加されます。

ルールグループの説明およびルールとラベルのリストについては、「AWS WAF 分散型サービス拒否 (DDoS) 防止ルールグループ」を参照してください。

このガイダンスは、AWS WAF 保護パック (ウェブ ACL)、ルール、およびルールグループを作成および管理する方法を一般的に認識しているユーザーを対象としています。これらのトピックは、このガイドの前のセクションでカバーされています。マネージドルールグループを保護パック (ウェブ ACL) に追加する方法の基本については、「コンソールを通じた保護パック (ウェブ ACL) へのマネージドルールグループの追加」を参照してください。

ベストプラクティスに従う

DDoS 対策ルールグループは、「AWS WAF におけるインテリジェントな脅威を軽減するためのベストプラクティス」に記載されているベストプラクティスに従って使用してください。

保護パック (ウェブ ACL) で AWSManagedRulesAntiDDoSRuleSet ルールグループを使用するには

  1. AWS マネージドルールグループ AWSManagedRulesAntiDDoSRuleSet を保護パック (ウェブ ACL) に追加し、保存する前にルールグループの設定を 編集 します。

    注記

    このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、AWS WAF の料金を参照してください。

  2. ルールグループ設定 ペインで、AWSManagedRulesAntiDDoSRuleSet ルールグループのカスタム設定を指定します。

    1. ブロックの機密性レベル では、ルールグループの DDoS 疑惑ラベル付けで一致するときに、ルール DDoSRequests をどれだけ機密にするかを指定します。機密性が高いほど、ルールが一致するラベル付けのレベルが低くなります。

      • 低い機密性では機密の程度が低く、高い疑惑ラベル awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request がある、攻撃の最も明白な参加者でのみルールが一致します。

      • 中程度の機密性では、中程度と高い疑惑ラベルでルールが一致します。

      • 高い機密性では、ルールは低、中、高のすべての疑惑ラベルで一致します。

      このルールは、DDoS 攻撃に参加している疑いがあるウェブリクエストの最も重大な処理を提供します。

    2. チャレンジを有効にする では、ルール ChallengeDDoSRequestsChallengeAllDuringEvent を有効にするかどうかを選択します。これにより、デフォルトで、一致するリクエストに Challenge アクションが適用されます。

      これらのルールは、正当なユーザーが DDoS 攻撃の参加者をブロックしながらリクエストを続行できるようにすることを目的としたリクエスト処理を提供します。アクション設定を Allow または Count にオーバーライドするか、完全に使用を無効にすることができます。

      これらのルールを有効にする場合は、必要な追加設定を指定します。

      • チャレンジの機密レベル では、ルール ChallengeDDoSRequests をどれだけ機密にするかを指定します。

        機密性が高いほど、ルールが一致するラベル付けのレベルが低くなります。

        • 低い機密性では機密の程度が低く、高い疑惑ラベル awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request がある、攻撃の最も明白な参加者でのみルールが一致します。

        • 中程度の機密性では、中程度と高い疑惑ラベルでルールが一致します。

        • 高い機密性では、ルールは低、中、高のすべての疑惑ラベルで一致します。

      • 除外 URI 正規表現 では、サイレントブラウザチャレンジを処理できないウェブリクエストの URI に一致する正規表現を指定します。Challenge アクションは、サイレントブラウザチャレンジを処理できない限り、チャレンジトークンがない URI からのリクエストを効果的にブロックします。

        Challenge アクションは、HTML コンテンツを想定しているクライアントによってのみ適切に処理できます。アクションの仕組みの詳細については、「CAPTCHA および Challenge アクション動作」を参照してください。

        デフォルトの正規表現を確認し、必要に応じて更新します。ルールは、指定された正規表現を使用して、Challenge アクションを処理できないリクエスト URI を特定し、ルールがチャレンジを返さないようにします。この方法で除外するリクエストは、ルール DDoSRequests でルールグループによってのみブロックできます。

        コンソールで提供されるデフォルトの式は、ほとんどのユースケースを対象としていますが、アプリケーションに合わせて確認して調整する必要があります。

        AWS WAF は、PCRE ライブラリ libpcre で使用されるパターン構文をサポートしますが、いくつかの例外があります。ライブラリは、「PCRE - Perl Compatible Regular Expressions」で文書化されています。AWS WAF でのサポートの詳細については、「AWS WAF でサポートされている正規表現」を参照してください。

  3. ルールグループに必要な追加設定を指定し、ルールを保存します。

    注記

    AWS は、このマネージドルールグループでスコープダウンステートメントを使用しないことをお勧めします。スコープダウンステートメントは、ルールグループが監視するリクエストを制限するため、トラフィックベースラインが不正確になり、DDoS イベント検出が低下する可能性があります。スコープダウンステートメントオプションは、すべてのマネージドルールグループステートメントで使用できますが、このステートメントには使用しないでください。スコープダウンステートメントの詳細については、「AWS WAF でのスコープダウンステートメントの使用」を参照してください。

  4. ルールの優先度の設定 ページで、新しい DDoS 対策マネージドルールグループルールを上に移動させ、持っている Allow アクションルールの後で他のルールの前にのみ実行されるようにします。これにより、ルールグループは DDoS 対策保護のトラフィックを最も多く追跡できます。

  5. 変更を保護パック (ウェブ ACL) に保存します。

本番稼働トラフィックに DDoS 対策実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、次のセクションを参照してください。