インフラチームがお届けするブログリレーです!既に公開されている記事もありますので、こちらから他のメンバーの投稿もぜひチェックしてみてください!
はじめに
クラウドインテグレーション事業部の言上です。
AWS WAFのアップデートで注目のアップデートがありましたので、そちらを紹介します。
アップデートしてすぐの情報のため、誤りがあれば随時修正します。
注目のアップデート「AWS WAFの機能でDDoS対策が出来るようになりました」
2025/6/12にAWS WAFのアップデートがありました。
強化されたアプリケーションレイヤー (L7) DDoS 保護機能
1、リソースベース(ALBのみ)の保護として、DDoSから保護を実施
- この有効化は無料の認識
- DDoSを検知して防御モードへ移行するデフォルトモード(AWS推奨。通信への影響は最小限)
- 常にDDoSを防御する常時有効のモード(常にチェックが走るため、通信への営業がある場合がある)
2、AWS WAFのマネージドルールとして、DDoS保護機能
- 有料のサービス(月額$20)
- AWS WAFを適用可能なすべてのサービスでマネージドルールを適用可能
- DDoSアクティビティのダッシュボードや通信のラベル付など、リソースベースよりもより分析に役立つ機能を提供
今までのDDoS対策
今まで、AWSではLayer3、Layer4の防御はAWS Shield Standard(無料)が提供されていました。
一方で、Layer7の防御はAWS WAFでカスタムルール等で対応する、または、AWS Shield Advanced(有料)が選択肢としてありました。
AWS Shield Advancedは高機能(アラート発報、ダッシュボード機能、24/365の専用サポート)であるものの、高額なサービス($3,000/月)であり、AWSの利用規模感によってはオーバースペック気味なサービスでありました。
そのため、カスタムルールでIPブロックするや、別の3rdパーティ製の製品を利用することも多くあった認識です。
これからのDDoS対策
本サービスアップデートがあったことで、規模感に応じてDDoS対策を選択することが出来ると考えます。
- 小〜中規模環境
- AWS WAFの強化されたアプリケーションレイヤー (L7) DDoS 保護機能
- 大規模かつOrganizations利用環境
- AWS Shield Advancedを利用してDDoS保護
- AdvancedはOrganizations単位で費用が発生するため、Org全体で防御可能
まとめ
AWS WAFの選択肢が増えたことで、AWSの中で完結することも出来るようになったと考えます!
まだしっかり検証等は出来ていないので、これから検証して、有用性や特徴を探っていこうと思います!
Tips 設定箇所まとめ(簡易版)
簡単にですが、設定する場所を提示します。
- 新規でAWS WAFを作成、かつALBの場合、自動でリソースベースで保護がつきます(デフォルトモードが選択されている)
マネージドルールを選択すると、DDoS対策のマネージドルールが選択出来るようになっています。
細かいルールの設定。詳細は今回は割愛しますが、
- どのリクエストを対象にするか
- WAFのチャレンジ機能を有効にするか
- DDoSのトラフィック量や防御の感度の制御
が行えます。
簡単30秒