DDoS 対策マネージドルールグループを保護パックまたはウェブ ACL に追加する - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DDoS 対策マネージドルールグループを保護パックまたはウェブ ACL に追加する

このセクションでは、AWSManagedRulesAntiDDoSRuleSet ルールグループを追加および設定する方法について説明します。

DDoS 対策 DDoS マネージドルールグループを設定するには、DDoS 攻撃に対するルールグループの機密性と、攻撃に参加している、または参加している可能性のあるリクエストに対してルールグループが実行するアクションを含む設定を指定します。この設定は、マネージドルールグループの通常の設定に追加されます。

ルールグループの説明とルールとラベルのリストについては、「」を参照してくださいAWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ

このガイダンスは、 AWS WAF 保護パックまたはウェブ ACLs、およびルールグループの作成と管理の一般的な方法を知っているユーザーを対象としています。これらのトピックは、このガイドの前のセクションでカバーされています。マネージドルールグループを保護パックまたはウェブ ACL に追加する方法の基本情報については、「」を参照してくださいコンソールを使用してマネージドルールグループを保護パックまたはウェブ ACL に追加する

ベストプラクティスに従う

のベストプラクティスに従って、DDoS 対策 DDoS ルールグループを使用しますでのインテリジェントな脅威軽減のベストプラクティス AWS WAF

保護パックまたはウェブ ACL でAWSManagedRulesAntiDDoSRuleSetルールグループを使用するには

  1. AWS マネージドルールグループを保護パックまたはウェブ ACL AWSManagedRulesAntiDDoSRuleSetに追加し、保存する前にルールグループ設定を編集します。

    注記

    このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「AWS WAF 料金」を参照してください。

  2. ルールグループ設定ペインで、AWSManagedRulesAntiDDoSRuleSetルールグループのカスタム設定を指定します。

    1. ブロックの機密レベルには、ルールグループの DDoS 疑惑ラベル付けで照合DDoSRequestsするときにルールの機密度を指定します。機密性が高いほど、ルールが一致するラベル付けのレベルが低くなります。

      • 機密性が低いほど感度が低く、疑惑ラベル が高い攻撃の最も明白な参加者でのみルールが一致しますawswaf:managed:aws:anti-ddos:high-suspicion-ddos-request

      • 機密性が中程度の場合、ルールは中程度と高い疑惑ラベルで一致します。

      • 感度が高いと、ルールは低、中、高のすべての疑惑ラベルで一致します。

      このルールは、DDoS 攻撃に関与している疑いがあるウェブリクエストの最も重大な処理を提供します。

    2. チャレンジを有効にする で、ルールChallengeDDoSRequestsと を有効にするかどうかを選択します。デフォルトではChallengeAllDuringEvent、一致するリクエストにChallengeアクションを適用します。

      これらのルールは、正当なユーザーが DDoS 攻撃の参加者をブロックしながらリクエストを続行できるようにすることを目的としたリクエスト処理を提供します。アクション設定を Allowまたは に上書きCountするか、完全に使用を無効にすることができます。

      これらのルールを有効にする場合は、必要な追加設定を指定します。

      • チャレンジの機密レベルには、ルールの機密ChallengeDDoSRequests度を指定します。

        機密性が高いほど、ルールが一致するラベル付けのレベルが低くなります。

        • 機密性が低いほど感度が低く、疑惑ラベル が高い攻撃の最も明白な参加者でのみルールが一致しますawswaf:managed:aws:anti-ddos:high-suspicion-ddos-request

        • 機密性が中程度の場合、ルールは中程度と高い疑惑ラベルで一致します。

        • 感度が高いと、ルールは低、中、高のすべての疑惑ラベルで一致します。

      • Exempt URI 正規表現には、サイレントブラウザチャレンジを処理できないウェブリクエストの URIs に一致する正規表現を指定します。Challenge アクションは、サイレントブラウザチャレンジを処理できない限り、チャレンジトークンがない URIs からのリクエストを効果的にブロックします。

        Challenge アクションは、HTML コンテンツを期待するクライアントによってのみ適切に処理できます。アクションの仕組みの詳細については、「」を参照してくださいCAPTCHA および Challenge アクション動作

        デフォルトの正規表現を確認し、必要に応じて更新します。ルールは、指定された正規表現を使用して、Challengeアクションを処理できないリクエスト URIs を識別し、ルールがチャレンジを返さないようにします。この方法で除外したリクエストは、ルール を持つルールグループによってのみブロックできますDDoSRequests

        コンソールで提供されるデフォルトの式は、ほとんどのユースケースを対象としていますが、アプリケーションに合わせて確認して調整する必要があります。

        AWS WAF は、いくつかの例外libpcreを除いて、PCRE ライブラリで使用されるパターン構文をサポートします。ライブラリは、「PCRE - Perl Compatible Regular Expressions」で文書化されています。 AWS WAF サポートの詳細については、「」を参照してくださいでサポートされている正規表現構文 AWS WAF

  3. ルールグループに追加の設定を指定し、ルールを保存します。

    注記

    AWS では、このマネージドルールグループでスコープダウンステートメントを使用しないことをお勧めします。スコープダウンステートメントは、ルールグループが監視するリクエストを制限するため、トラフィックベースラインが不正確になり、DDoS イベント検出が低下する可能性があります。スコープダウンステートメントオプションは、すべてのマネージドルールグループステートメントで使用できますが、このステートメントには使用しないでください。スコープダウンステートメントの詳細については、「でのスコープダウンステートメントの使用 AWS WAF」を参照してください。

  4. 「ルールの優先度を設定する」ページで、新しいアンチ DDoS マネージドルールグループルールを上に移動して、持っているAllowアクションルールの後に、他のルールの前にのみ実行されるようにします。これにより、ルールグループはアンチ DDoS 保護のトラフィックを最も多く追跡できます。

  5. 変更を保護パックまたはウェブ ACL に保存します。

本番トラフィックにアンチ DDoS 実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、次のセクションを参照してください。