For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
Shield Standard で DDoS の攻撃を防ぐにはどうすればよいか教えてください。
AWS Shield Standard を使用して、アプリケーションを分散型サービス拒否 (DDoS) 攻撃から保護したいと考えています。
簡単な説明
AWS Shield Standard は、AWS アカウントでデフォルトで有効になっており、追加料金はかかりません。以下のサービスでは、一般的なネットワーク層やトランスポート層の攻撃に対する「常時稼働」の Shield Standard の緩和策が設定されています。
- Amazon CloudFront (HTTP および gRPC リモートプロシージャコールのワークロードの場合)
- Amazon Route 53 (DNS の場合)
解決策
Shield Standard を使用してアプリケーションを DDoS 攻撃から保護するには、アプリケーションアーキテクチャに関する次のガイドラインに従うことがベストプラクティスです。
- 拡張性に優れたサービスを使用する。
- 攻撃対象領域を小さくする。
- 悪意のあるトラフィックを検出してフィルタリングする。
- アプリケーションの動作を監視する。
- DDoS 攻撃に対するプランを作成する。
拡張性に優れたサービスを使用する
次のベストプラクティスに従って大規模トラフィック向けに設計します。
- CloudFront、Global Accelerator、Route 53 を使用して、AWS ネットワークのエッジにあるアプリケーションを保護します。
- Elastic Load Balancing を使用してトラフィックを分散し、Application Load Balancer の場合は、[キャパシティ予約] (お使いの Application Load Balancer の http://キャパシティ予約) を使用して最小容量を予約します。
- Application Auto Scaling を使用して、オンデマンドで水平または垂直にスケーリングし、複数のサービスと統合します。
攻撃対象領域を小さくする
以下のベストプラクティスを活用して、攻撃対象領域を小さくします。
- CloudFront オリジンへのアクセスを制限します。Amazon S3 オリジンの場合は、オリジンアクセスコントロール (OAC) を使用してください。オリジンが Elastic Load Balancer、Network Load Balancer、または EC2 インスタンスの場合は、VPC オリジンを使用してください。現在、VPC オリジンなしで CloudFront が管理するプレフィックスリストを使用している場合は、VPC オリジンを実装してください。
- 想定されるトラフィックのみがアプリケーションに到達するように、ネットワークアクセスコントロールリスト (ネットワーク ACL) とセキュリティグループを使用します。
- アプリケーションへの悪意のあるトラフィックの可能性を減らすため、パブリックの Elastic IP アドレスをバックエンドリソースに割り当てないでください。
詳しくは、「攻撃領域を小さくする」を参照してください。
悪意のあるトラフィックを検出してフィルタリングする
次のベストプラクティスを使用して、悪意のあるトラフィックを検出してフィルタリングします。
- 「DDoS Resilience - Using AWS WAF to protect against DDoS Botnets (DDoS レジリエンス - AWS WAF を使用して DDoS ボットネットから保護する)」で説明されている AWS WAF のベストプラクティスを活用してください。
注: AWS WAF を使用するには、Amazon CloudFront、Amazon API Gateway、 Application Load Balancer、AWS AppSync、または Amazon Cognito を使用する必要があります。 - CloudFront CDN キャッシュを使用して、オリジンへのキャッシュ可能なリクエストを減らします。「DDoS Resilience - the unbelievable importance of HTTP caching (DDoS レジリエンス - HTTP キャッシュの驚くべき重要性)」を参照してください。
- 必要に応じて API Gateway で API キャッシュを有効にし、Amazon API Gateway REST API を使用して各メソッドのバースト制限を使用します。
詳細については、「低減するテクニック」を参照してください。
アプリケーションの動作を監視する
次のベストプラクティスを使用してアプリケーションの動作を監視します。
- Amazon CloudWatch ダッシュボードを作成して、トラフィックパターンやリソース使用量など、アプリケーションの主要メトリクスのベースラインを確立します。
- [集中ログ記録ソリューション] (http://https//docs.aws.amazon.com/solutions/latest/centralized-logging-with-opensearch/solution-overview.html) を使用して CloudWatch ログの可視性を高めます。
- DDoS 攻撃に対応してアプリケーションを自動的にスケーリングするように CloudWatch アラームを設定します。
詳細については、「Application Auto Scaling をモニタリングする」を参照してください。
DDoS 攻撃に対するプランを作成する
DDoS 攻撃に効率的かつタイムリーに対応できるように、事前にランブックを作成します。ランブックの作成方法に関するガイダンスについては、「AWS Security Incident Response テクニカルガイド」を参照してください。
DDoS 攻撃からアプリケーションを保護する方法の詳細については、「DDoS 耐性を高めるための AWS のベストプラクティス」を参照してください。
関連情報
CloudFront と Route 53 を使用して動的ウェブアプリケーションを DDoS 攻撃から保護する方法
Route 53 と外部コンテンツ配信ネットワークを使用して DDoS 攻撃からウェブアプリケーションを保護する方法
AWS Global Accelerator と AWS Shield Advanced を使用して自己管理型 DNS サービスを DDoS 攻撃から保護する方法
- 言語
- 日本語
関連するコンテンツ
- 質問済み 3ヶ月前
- AWS公式更新しました 8ヶ月前
