【札幌開催】AWS re:Inforce 2025 振り返り勉強会にて「5 分でわかる!AWS WAF の Anti-DDoS Protection」というタイトルで登壇しました
2025.07.02こんにちは!クラウド事業本部コンサルティング部のたかくに(@takakuni_)です。
2025年07月01日に【札幌開催】AWS re:Inforce 2025 振り返り勉強会を行いました。
本エントリは登壇レポートになります。
私は「5 分でわかる!AWS WAF の Anti-DDoS Protection」というタイトルで、登壇しました。当日は 3 本話してその 1 本になります。
関連するブログはこちら
AWS WAF の Anti-DDoS Protection について
AWS WAF の Anti-DDoS Protection について触れていきます。
機能は大きく分けて、Resource-level DDoS protection, AWS managed rule group DDoS protection の 2 つに分かれます。
Resource-level DDoS protection
Resource-level DDoS protection は、ALB に付与可能な DDoS 保護機能です。クライアントIPアドレスと X-Forwarded-For(XFF)でクライアントを評価します。
保護モードには DDoS の可能性がある時間帯のみブロックする Active under DDoS と、永続的にブロックする Always on に分かれます。実は既存 ALB に付与された AWS WAF もすでに Active under DDoS が有効になった状態で利用されています。
AWS WAF の利用費から追加料金なしで利用できるのもありがたいですよね。
AWS managed rule group DDoS protection
続いて AWS managed rule group DDoS protection です。
こちらは、ALB 以外のリソースでも利用可能な保護機能です。(もちろん ALB でも利用できます)
AWS WAF のマネージドルールが提供されており、毎月 20 USD から利用できます。機械学習アルゴリズムを利用して脅威を検出するようで、WCU も 50 を低めに設定されています。
Shield Advanced との違い
やはり、Shield Advanced との違いが気になるのではないでしょうか。
調べてみると Shield Advanced の場合、レートベースルールを軸に評価しますが、今回の Anti-DDoS 保護は短い DDoS を評価対象としているようです。
Best practices for intelligent threat mitigation in AWS WAF
最後に Best practices for intelligent threat mitigation in AWS WAF についてです。
なんとドキュメントが用意されています。ありがたいですね。
ドキュメントによると、本番環境のトラフィックを意識してテストすること、ルールは最初に評価されるよう設定することなどが述べられています。
利用する際は一読いただくのが良いかと思いました。
まとめ
以上、「【札幌開催】AWS re:Inforce 2025 振り返り勉強会にて「5 分でわかる!AWS WAF の Anti-DDoS Protection」というタイトルで登壇しました」でした。
