AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
AWS WAF 分散型サービス拒否 (DDoS) の防止
AWS WAF は、AWS リソース内の DDoS 攻撃に対する高度でカスタマイズ可能な保護を提供します。このセクションで説明されているオプションを確認し、セキュリティとビジネスニーズを満たす DDoS 対策保護のレベルを選択します。
AWS WAF では、2 つの DDoS 保護階層から選択できます。
- リソースレベルの DDoS 保護
-
標準階層は、Application Load Balancer 内で動作し、ホストフィルタリングを通じて既知の悪意のあるソースから保護します。潜在的な DDoS イベントに最もよく反応するように保護動作を設定できます。
リソースレベルの DDoS 保護:
トラフィックパターンを自動的にモニタリングします。
脅威インテリジェンスをリアルタイムで更新します。
既知の悪意のあるソースから保護します。
Application Load Balancer のウェブ ACL リクエストコストを最適化するには
リソースレベルの保護を有効にするには、ウェブ ACL を Application Load Balancer に関連付ける必要があります。Application Load Balancer が設定のないウェブ ACL に関連付けられている場合、AWS WAF リクエストの料金は発生しませんが、 AWS WAF は CloudWatch メトリクスの Application Load Balancer に関するサンプルリクエストやレポートを提供しません。Application Load Balancer のオブザーバビリティ機能を有効にするには、次のアクションを実行できます。
-
DefaultActionのカスタムリクエストヘッダーでAllowアクションまたはBlockアクションを使用します。詳細については、「ノンブロッキングアクションのためのカスタムリクエストヘッダーの挿入」を参照してください。 -
任意のルールをウェブ ACL に追加します。詳細については、「AWS WAF ルール」を参照してください。
-
ログ記録の送信先を有効にします。詳細については、「保護パック (ウェブ ACL) のログ記録の設定」を参照してください。
-
ウェブ ACL を AWS Firewall Manager ポリシーに関連付けます。詳細については、「AWS WAF の AWS Firewall Manager ポリシーの作成」を参照してください。
AWS WAF は、これらの設定がないと、サンプルリクエストを提供したり、CloudWatch メトリクスを発行したりしません。
- AWS マネージドルールグループの DDoS 保護
-
DDoS 保護の高度な階層は、
AWSManagedRulesAntiDDoSRuleSetを通じて提供されます。マネージドルールグループは、リソースレベルの保護階層を補完しますが、次の大きな違いがあります。保護は Application Load Balancer と CloudFront ディストリビューションの両方に拡張されます
トラフィックベースラインは、新しい攻撃パターンの検出を改善するために、保護されたリソース用に作成されます。
保護動作は、選択した感度レベルに応じてアクティブ化されます。
DDoS イベントの発生時に、保護されたリソースへのリクエストを管理およびラベル付けします。
含まれているルールと機能の包括的なリストについては、「AWS WAF 分散型サービス拒否 (DDoS) 防止ルールグループ」を参照してください。
注記
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、AWS WAF 料金
