質問・問題
CloudFront に対してホワイトリスト形式の AWS WAF を設定しております。
しかし、許可していない IP アドレスから CloudFront に対して Ping チェックテストを行った際、応答がありました。
CloudFront に対する Ping (ICMP) をブロックしたいですが、可能でしょうか。
回答・解決方法
恐れ入りますが、CloudFront において Ping(ICMP) をブロックすることはできません。
CloudFront では ICMP を使用して複数の CloudFront POP (エッジロケーション) までの往復レイテンシーを測定し、その結果に基づき適切な POP にリクエストがルーティングされるように設計されております。
上記より、ICMP プロトコルを使用したリクエストは常に受け付けられるようになっているとご理解ください。
■補足
・CloudFront では ICMP フラッド (Ping フラッド) のような攻撃に対して可用性を保護するように設計されております。[1]
・AWS WAF は レイヤー7層(HTTP、HTTPS)を保護対象とするサービスのため、レイヤー3層(TCP、UDP、ICMP)は保護対象外となります。
■ 参考ドキュメント
[1] Amazon CloudFront を活用したウェブサイトの可用性向上 | Amazon Web Services ブログ
https://aws.amazon.com/jp/blogs/news/improve-your-website-availability-with-amazon-cloudfront/
===抜粋
Amazon CloudFront はAWS Shield によるDDoS 保護機能が有効化されており、ネットワーク層およびトランスポート層のDDoS 攻撃に対する緩和が自動的に行われます。
===