HTTP DDoS 攻撃防御管理ルールセット
CIS HTTP DDoS Attack Protection managed ruleset は、 CIS グローバル・ネットワーク全体で既知のレイヤ 7(アプリケーショ ン層) DDoS 攻撃ベクトルを検出し、軽減するように設計された、設定済みのルール・セットです。
現在、 HTTP DDoS Attack Protectionルールセットは、 CIS APIを使用してのみ利用可能です。
マネージド・ルールセットは、このような事態を防ぐのに役立つ:
- 既知の DDoS 攻撃パターンとツール
- 不審なリクエスト行動
- プロトコル違反
- 過剰なオリジンエラーを発生させるリクエスト
- オリジンまたはキャッシュを標的としたトラフィックの洪水
- その他のアプリケーション層攻撃ベクトル
HTTP DDoS Attack Protection 管理ルールセットは、すべての CIS カスタマーに対して常に有効であり、無効にすることはできません。 ただし、検出された攻撃に対するルールセットの対応方法はカスタマイズできる。
このルールセットはまた、 CIS によってミティゲーションされたレイヤ 7 DDoS 攻撃を可視化し、アクティブな攻撃アクティビティと過去の攻撃アクティビティの両方を確認できるようにします。
ルール・セット構成
大量の正当なトラフィックが予想される場合、 HTTP DDoS 攻撃防御設定をカスタマイズして、正当なリクエストが攻撃トラフィックとして誤って検出され、ブロックまたはチャレンジされる誤検出を減らすことができます。
以下のパラメータを変更することで、管理ルールセット内のルールの動作を調整できる:
- 攻撃が検出されたときに実行されるアクション。
- 攻撃検知メカニズムの感度レベル。
特定のアクションと感度レベルは、特定の CIS プランでのみ利用可能です。
現在、 HTTP DDoS Attack Protection の管理ルールセットに対してアカウントオーバーライドを定義できるのは、APIを通じてのみです。
ルールの動作を調整するには、 ddos_l7 フェーズで ルールセット API を 使用する。
可用性
HTTP DDoS Attack Protection 管理ルールセットは、すべてのプランで CIS の顧客を保護し、すべてのゾーンに適用されます。 顧客は、ゾーン・レベルとアカウント レベルの両方でルールセットを設定できる。
Enterpriseプランのお客様は、カスタム 式を 使用して最大10個のオーバーライド(またはAPIを使用する場合は最大10個のルール)を作成し、受信リクエストのカテゴリごとに DDoS。
スタンダードプランのお客様は、オーバーライドを1つだけ作成でき、ルール式をカスタマイズすることはできません。 この場合、1つのオーバーライド(1つ以上の構成設定を含む)がすべての着信リクエストに適用されます。
パラメーター
HTTP DDoS Attack Protection 管理対象ルールセットを設定して、特定の攻撃に適用されるアクションを変更したり、検出メカニズムの感度レベルを変更したりします。
ルールセットAPIを使用してオーバーライドを定義 できます。
HTTP DDoS Attack Protection 管理対象ルールセットでは、以下のパラメータを使用できます:
- アクション
- 機密レベル
アクション
API プロパティ名: action.
CIS このアクションは、 HTTP DDoS Attack Protection管理されたルールセットのルールにマッチする HTTP リクエストを処理する方法を決定する。
| アクション | API値 | 説明 |
|---|---|---|
| ブロック | block |
ルール式に一致する HTTP リクエストをブロックする。 |
| 管理対象チャレンジ | managed_challenge |
|
| 対話式チャレンジ | challenge |
ルール式にマッチする HTTP リクエストをするクライアントに、対話的な課題を提示する。 |
| ログ | log |
Advanced DDoS Protection を搭載したエンタープライズプランでのみご利用いただけます。 HTTP DDoS 攻撃を検出するルールの式に一致するリクエストをログに記録します。 より厳しい措置に着手する前に、ルールの妥当性を確認するために推奨される。 |
| コネクション・クローズ | 適用不可(オーバーライドで使用できない内部ルールアクション) | 既存の接続を再利用する代わりに、 keep-alive を無効にして新しい接続を確立するようにクライアントに指示する。 既存のリクエストは影響を受けない。 |
| 強制的に接続を閉じる | Not applicable(オーバーライドで使用できない内部ルールアクション)。 |
|
| DDoS ダイナミック | Not applicable(オーバーライドで使用できない内部ルールアクション)。 | CIS によって定義された一連の内部ガイドラインに従って、特定のアクションを実行する。 実行されたアクションは、リストアップされたアクションのいずれかである場合もあれば、未公開の別の緩和策である場合もある。 |
機密レベル
API プロパティ名: sensitivity_level.
感度レベルは、ミティゲーションのしきい値を調整することで、ルールがどの程度攻撃 を積極的に検出するかを定義する:
- 感度が高いほど、より低いしきい値を使用し、より積極的に攻撃を検出する。
- 感度が低いほど、高いしきい値が使われ、攻撃性は低くなる。
使用可能な感度レベルは以下の通り:
| UI値 | API値 |
|---|---|
| 高 | default |
| 中 | medium |
| 低 | low |
| 基本的にオフ | eoff |
デフォルトの感度レベルは 「高」。
本質的にオフ]を選択した場合、通常、ルールは[ログ]を含むミティゲーション アクションをトリガしません。 しかし、攻撃が例外的な規模に達した場合でも、 CIS 保護システムは、 CIS ネットワークを保護するためにミティゲーションを適用する。
基本的にオフ」を選択すると、極端に低い感度レベルが設定される。 ほとんどの場合、トラフィックはミティゲートされないが、例外的に大規模な攻撃はネットワークの安定性を維持するためにミティゲートされる。
Sensitivityは、トラフィックを攻撃として検出するかどうかを制御する。 アクションは、攻撃が検出されたときの動作を制御する。
ログを選択すると、リクエストはログに記録され、ダッシュボードに表示されます。 エッセンシャル・オフ」と同様、例外的に大規模な攻撃は、 CIS ネットワークを保護するために軽減される。
ルールのカテゴリー
HTTP DDoS Attack Protection の管理ルールは、トラフィックの種類とミティゲーションの動作に基づ いて、次のカテゴリ(タグ)に分類されます。
| 名前 | 説明 |
|---|---|
botnets |
既知のボットネットから発信されたリクエストを検出するルール。 これらのルールは検出精度が非常に高く、誤検出のリスクが低い。 これらのルールは有効にしておくことを推奨する。 |
unusual-requests |
正規のトラフィックでは一般的に観察されない不審な特性を持つリクエストを識別するルール。 |
advanced |
エンタープライズのお客様が利用できる機能に関連するルール。 |
generic |
リクエストの洪水を検出し、緩和するルール。 これらのルールは、既知のシグネチャがない攻撃に対しては有効だが、正当なトラフィックが異常に多いときに発動することもある。 偽陽性のリスクを減らすために、これらのルールは、より高いリクエスト・パー・セコンド(rps)の活性化しきい値を使用する。 デフォルトでは、これらのルールはトラフィックをレート制限またはチャレンジするが、必要に応じてトラフィックをブロックするようにオーバーライドできる。 |
read-only |
高い信頼性で DDoS 攻撃を軽減するように設計された、高度にターゲット化されたルール。 これらのルールは read-only。 感度レベルやアクションを上書きすることはできません。 |
test |
CIS DDoS 保護製品の検出、ミティゲーション、アラート機能をテストするために使用されるルール。 |