Application Load Balancer – テクニカルタイムアウト

AWS WAF

AWS WAFは、Amazon API Gateway、Amazon CloudFront、Application Load Balancer に転送される HTTP および HTTPS リクエストをモニタリングできるWAF。

指定したリクエスト 以外の全てのリクエストを許可する

指定したリクエスト 以外の全てのリクエストをブロックする

指定したプロパティに一致するリクエストを カウントする

ことができる。これらを設定する際には、

リクエストの発生元の IP アドレス

リクエスト送信元の国

リクエストヘッダーの値

リクエストに含まれる 文字列

リクエストの長さ

悪意のある 可能性がある SQLコード の有無

悪意のある 可能性があるスクリプトの有無

などを条件として指定できる。また、 DDoS攻撃の影響を最小限に抑えることが可能な AWS Shield と組み合わせて使用することもでき、これらのサービスを簡単に管理可能な AWS Firewall Manager が用意されている。WAFは、ルールの複雑性が加味された Web ACl Capacity Unit 単位で課金される。

CloudFrontと併用する際には、WAFが返却したレスポンスに応じてカスタムエラーページを表示 したり、 CloudFrontの地理的ブロッキング機能と同時に使用する ことができる。

ACLとルール

Web ACLは、表示された リスト順に評価 され、ルールに一致するリクエストを許可 , ブロック , カウント することができる。また、どのルールにも一致しないリクエストをどのように処理するかを定める デフォルトアクション を指定することができる。

WEB ACLに追加可能なルールセットである、ルールグループ を規定することができ、あらかじめAWSやベンダーが作成した、マネージドルールグループ を使用/購入することもできる。ルールグループにはデフォルトアクションが設定されておらず複数のWEB ACLに同一のルールグループを適用することができる。

グループ名	WCU	内容	利用シーンと効果
Admin protection	100	公開されている管理ページへの外部アクセスをブロックするためのルール	サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを軽減したい場合
Amazon IP reputation list	25	ボットやその他の脅威に関連付けられている IP アドレスをブロック	ボットを軽減したい場合
Core rule set	700	ウェブアプリケーションに一般的に適用可能なルール
Known bad inputs	200	脆弱性の悪用または発見に関連するリクエストパターンをブロックするルール	悪意のあるアクターが脆弱なアプリケーションを発見するリスクを軽減
Linux operating system	200	Linux 固有の脆弱性の悪用に関連するリクエストパターンをブロック	攻撃者がアクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐ
PHP application	100	安全でない PHP 関数のインジェクションなど、PHP プログラミング言語の使用に固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール	攻撃者が許可されていないコードまたはコマンドをリモートで実行できる脆弱性の悪用を防ぐ
POSIX operating system	100	POSIX および POSIX と同等のオペレーティングシステムに固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール	アクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐ
SQL database	200	SQL Database ルールグループには、SQL インジェクション攻撃などの SQL データベースの悪用に関連するリクエストパターンをブロックするルール	不正なクエリのリモートインジェクションを防ぐ
Windows operating system	200	PowerShell コマンドのリモート実行など、Windows 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール	悪意のあるコードを実行したりする脆弱性の悪用を防ぐ
WordPress application	100	WordPress サイト固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール

グループ名

WCU

内容

利用シーンと効果

Admin protection

100

公開されている管理ページへの外部アクセスをブロックするためのルール

サードパーティーのソフトウェアを実行している場合や、悪意のあるアクターがアプリケーションへの管理アクセスを得るリスクを軽減したい場合

Amazon IP reputation list

ボットやその他の脅威に関連付けられている IP アドレスをブロック

ボットを軽減したい場合

Core rule set

700

ウェブアプリケーションに一般的に適用可能なルール

Known bad inputs

200

脆弱性の悪用または発見に関連するリクエストパターンをブロックするルール

悪意のあるアクターが脆弱なアプリケーションを発見するリスクを軽減

Linux operating system

200

Linux 固有の脆弱性の悪用に関連するリクエストパターンをブロック

攻撃者がアクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐ

PHP application

100

安全でない PHP 関数のインジェクションなど、PHP プログラミング言語の使用に固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール

攻撃者が許可されていないコードまたはコマンドをリモートで実行できる脆弱性の悪用を防ぐ

POSIX operating system

100

POSIX および POSIX と同等のオペレーティングシステムに固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール

アクセスしてはならないファイルの内容を公開したり、コードを実行したりする攻撃を防ぐ

SQL database

200

SQL Database ルールグループには、SQL インジェクション攻撃などの SQL データベースの悪用に関連するリクエストパターンをブロックするルール

不正なクエリのリモートインジェクションを防ぐ

Windows operating system

200

PowerShell コマンドのリモート実行など、Windows 固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール

悪意のあるコードを実行したりする脆弱性の悪用を防ぐ

WordPress application

100

WordPress サイト固有の脆弱性の悪用に関連するリクエストパターンをブロックするルール

ロギング

ログ記録を有効化することで、WEB ACLで分析されるトラフィックの詳細情報を取得することができる。ログ記録を有効化すると Kinesis Firehose経由で指定した場所にログが保存される 。

また、CloudWatchアラームで特定のメトリクスをモニタリング することができるほか、CloudTrailによるアクションレコードの保存にも対応している。

FireWall Manager

FireWall Managerを用いることで、AWS WAF Classic ルール、AWS Shield アドバンスド保護、 Amazon VPC セキュリティグループ を有効化することができ、これにより組織全体の保護を行ったり、リソースの頻繁な追加に対応し、組織全体のDDoS攻撃を一元的に監視することができる。 FireWall Managerを使用するためには、AWS Organizationのメンバーである必要 がある。

ELBとは

ELBとは複数のアベイラビリティゾーンのEC2インスタンスに負荷を分散させるロードバランサである。ELBには、Classic Load BalancerとApplication Load Balancer、Network Load Balancerの3種類が存在する。特段の理由がなければ、Clasic Load Balancerは使用せず、Application Load Balancer、Network Load Balancerを使用する。

ロードバランサは、登録されているEC2のうち正常なものだけを選んで負荷を分散する。Clasic Load Balancerは、EC2のインスタンスを直接登録するが、Application Load BalancerとNetwork Load Balancerは、ターゲットグループをまず生成し、その中にインスタンスを登録する形となる。クライアントから接続があった場合は、作成したリスナーがそれを確認し、EC2へとトラフィックをルーティングする。EC2にルーティングをクロスゾーン負荷分散を無効にしていると、インスタンスがどのようなバランスで配置されていたとしても、アベイラビリティゾーンの数で均等に配分されてしまうので注意が必要である。なお、Application Load Balancerでは、クロスゾーン負荷分散はデフォルトで有効になっている。

ロードバランサに紐付けられているドメイン名に紐づけられたIPアドレスは、負荷に合わせて動的に変化する。DNSエントリは、TTLが60秒に設定されている。内側のインスタンスとの通信では、EC2にKeep Aliveを設定しておくことが望ましい。

特徴

HTTPS

SSLの終端に対応している。また、同じIPアドレスには1つのドメインしか割り当てられないSSL/TLSを拡張し、複数のドメインに対応したSNIにも対応している。

20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB) from Amazon Web Services Japan

AWS Black Belt ELB Update Network Load Balaner(NLB) from Amazon Web Services Japan

AWS Black Belt Online Seminar 2016 Elastic Load Balancing from Amazon Web Services Japan

Application Load Balancer from Amazon Web Services Japan

AWS Black Belt Online Seminar 2016 Elastic Load Balancing from Amazon Web Services Japan

Application Load Balancer とは

Application Load Balancerは、OSI参照モデルのレイヤー7で動作するロードバランサで、負荷に合わせて自動的にスケールする。HTTP/2やWebSocketに対応している。EC2でクライアントの送信先アドレスを取得するためには、x-forwarded-forヘッダフィールドを参照する。ALBが負荷に追従できずスケーリングが間に合わなかった場合は、503を返す。リクエストタイムアウト値は60秒。

スティッキーセッション

ALB（およびClassic Load Balancer）では、スティッキーセッションを利用できる。ALBは、レスポンスにCookieを含め、 同一のCookieを受信した場合にはリクエストを同じターゲットに送信する。 ターゲットグループ単位 で、スティッキーセッションを有効化できる。

アベイラビリティゾーン

ALBが対象とするアベイラビリティゾーンを有効化/無効化することができる。 無効化されたアベイラビリティゾーンのターゲットは、ALBに登録された状態のままであるが、トラフィックはルーティングされない 。

ルーティング

IPアドレスベースのルーティングに対応しているため、オンプレミス上の任意のサーバをターゲットとして指定することができる。また、Lambdaをターゲットにすることも可能。ホストベース、パスベース、ヘッダーベース、メソッドベースなどのコンテンツベースルーティングにも対応している。

Network Load Balancerとは

Network Load Balancerは、OSI参照モデルのレイヤー4で動作するロードバランサで、必要に応じて1つのElastic IPをサブネットごとに紐づけることができる。また、NLBを作成するときには耐障害性を向上させるために、複数のAZを有効にすることができる。ただし、NLB作成後にAZを有効化したり無効化したりすることはできない。また、割り当てたサブネットに1つ以上のターゲットが存在する必要がある。割り当てたサブネットには最低8個の利用可能なIPアドレスが必要となる。

送信元のIPアドレスを保持することが可能で、Pre-Warmingなしに急激なスパイク(数百万requests/秒)に対応可能。また、NGとなったAZのIPアドレスは自動的にDNSとの紐付けから削除されるなど高い可用性を持つ。

リスナーは、TCP 1-65535ポート、およびWebSocketに対応している。ログは、VPCフローログを利用する。

クロスゾーン負荷分散

NLBでクロスゾーン負荷分散を有効にすると、同一AZ（同一サブネット）のターゲットだけではなく、有効な全てのAZの登録済みのターゲットに対してトラフィックを分散することができる。

テクニカルタイムアウト

Some technical problems have occurred.

タグ: Application Load Balancer

AWS WAF（1）WAFの概要