Slide 1
Slide 1 text
5 分でわかる!
AWS WAF の Anti-DDoS Protection
Slide 2
Slide 2 text
2
● 部署
○ クラウド事業本部コンサルティング部
● 名前(ニックネーム)
○ たかくに
● ロール
○ ソリューションアーキテクト
⾃⼰紹介
Slide 3
Slide 3 text
re:Inforce 2025 どうでしたか?
Slide 4
Slide 4 text
の前の AWS WAF の DDoS 最⾼です
Slide 5
Slide 5 text
re:Inforce と
いってもいいのではないでしょうか
Slide 6
Slide 6 text
AWS WAF の DDoS Protection
Slide 7
Slide 7 text
● L7 レイヤーの DDoS 保護機能がリリースされた!
● 以下の 2 種類の保護機能をサポート
○ Resource-level DDoS protection
○ AWS managed rule group DDoS protection
● コスト感をお安く DDoS 保護できる
○ 1ヶ⽉ 20 USD から
7
AWS WAF の Anti-DDoS Protection
Slide 8
Slide 8 text
● ALB に付与可能な DDoS 保護機能
● クライアントIPアドレスと X-Forwarded-For(XFF)で評価
● ALB にアタッチされた既存 WAF も有効になっている
● 保護モード
○ Active under DDoS
■ DDoS の可能性がある時間帯のみブロック
○ Always on
■ 検出されたリソースは常にブロック
● 追加料⾦なしで利⽤可能
8
Resource-level DDoS protection
Slide 9
Slide 9 text
● ALB 以外も付与可能な DDoS 保護機能
● 新たにマネージドルールが提供されている
● これ⼤事:Count で様⼦⾒してから運⽤してね
● 機械学習アルゴリズムを利⽤して、通常のトラフィック
パターンからの異常を検出
● WCU: 50
● 100万リクエストあたり 0.15 USD のリクエスト料⾦
● 1 ヶ⽉あたり 20 USD(時間按分)の基本料⾦
9
AWS managed rule group DDoS protection
Slide 10
Slide 10 text
● ⽬的は⼀緒 L7 の DDoS 保護機能
● 評価期間が異なる
○ AWS Shield Advanced
■ レートベースの評価期間を元に評価
○ Anti-DDoS Protection
■ 数秒単位の短い期間の DDoS を評価
● SRT や⾃動緩和が AWS Shield Advanced にある
10
AWS Shield Advanced との違い
Slide 11
Slide 11 text
● Use production traffic loads when you establish
baselines for the Anti-DDoS rule group
● Do not limit the requests that you send to the
Anti-DDoS rule group
11
Best practices for intelligent threat mitigation in AWS WAF
Slide 12
Slide 12 text
No content