AWS WAF Anti-DDoS Protection in 5 Minutes!

Transcript

1. 5 分でわかる！ AWS WAF の Anti-DDoS Protection

2. 2 • 部署 ◦ クラウド事業本部コンサルティング部 • 名前（ニックネーム） ◦ たかくに •

   ロール ◦ ソリューションアーキテクト ⾃⼰紹介

3. re:Inforce 2025 どうでしたか？

4. の前の AWS WAF の DDoS 最⾼です

5. re:Inforce と いってもいいのではないでしょうか

6. AWS WAF の DDoS Protection

7. • L7 レイヤーの DDoS 保護機能がリリースされた！ • 以下の 2 種類の保護機能をサポート ◦

   Resource-level DDoS protection ◦ AWS managed rule group DDoS protection • コスト感をお安く DDoS 保護できる ◦ 1ヶ⽉ 20 USD から 7 AWS WAF の Anti-DDoS Protection

8. • ALB に付与可能な DDoS 保護機能 • クライアントIPアドレスと X-Forwarded-For（XFF）で評価 • ALB

   にアタッチされた既存 WAF も有効になっている • 保護モード ◦ Active under DDoS ▪ DDoS の可能性がある時間帯のみブロック ◦ Always on ▪ 検出されたリソースは常にブロック • 追加料⾦なしで利⽤可能 8 Resource-level DDoS protection

9. • ALB 以外も付与可能な DDoS 保護機能 • 新たにマネージドルールが提供されている • これ⼤事：Count で様⼦⾒してから運⽤してね

   • 機械学習アルゴリズムを利⽤して、通常のトラフィック パターンからの異常を検出 • WCU: 50 • 100万リクエストあたり 0.15 USD のリクエスト料⾦ • 1 ヶ⽉あたり 20 USD（時間按分）の基本料⾦ 9 AWS managed rule group DDoS protection

10. • ⽬的は⼀緒 L7 の DDoS 保護機能 • 評価期間が異なる ◦ AWS

    Shield Advanced ▪ レートベースの評価期間を元に評価 ◦ Anti-DDoS Protection ▪ 数秒単位の短い期間の DDoS を評価 • SRT や⾃動緩和が AWS Shield Advanced にある 10 AWS Shield Advanced との違い

11. • Use production traffic loads when you establish baselines for

    the Anti-DDoS rule group • Do not limit the requests that you send to the Anti-DDoS rule group 11 Best practices for intelligent threat mitigation in AWS WAF
12. None