高度な DDoS 攻撃 (レイヤー7) の緩和 - AWS Shield
AWS は分散型サービス拒否攻撃 (DDoS) から保護するサービスである AWS Shield Standard を無料で提供しており、これはすべてのアカウント(無料利用枠のみを使用するアカウントも含む)で有効になっています。このサービスは、SYN フラッドや UDP リフレクションなどのレイヤー 3-4 の大量のトラフィックを使う攻撃から保護します。
オプションとして、お客様はクラウドワークロードのより強力な保護のために AWS Shield Advanced を有効にすることができます。
AWS Shield Standard と AWS Shield Advanced の比較
AWS Shield Advanced は、標準サービスに以下の複数の機能を追加して補完します:
AWS Shield Advanced の利点
- HTTP フラッド、DNS クエリフラッドなどのアプリケーション層 (レイヤー7) の攻撃や、TLS 悪用などのプレゼンテーション層 (レイヤー6) の攻撃からの保護。
- Shield レスポンスチーム (SRT) へ 24 時間 365 日のアクセスが可能。チームは悪意のあるトラフィックのフィルタリングや適切な保護の追加、手動のトラフィック分析を支援します。また、アーキテクチャを分析してサービス拒否攻撃への耐性を評価し、改善策を提案する予防的なサポートも提供します。
- サービス拒否攻撃の結果としてインフラストラクチャ(ロードバランサー、EC2 インスタンスなど) がスケールアップした場合、AWS Shield Advanced はそのコストを保護できます。
- Amazon CloudWatch で分析できるメトリクスと、DDoS 攻撃の現在のグローバルステータスの可視化を提供します。
- Shield Advanced で保護されているリソース用の特定の AWS WAF の使用と、AWS Firewall Manager 保護ポリシーは追加料金なしでご利用いただけます。(詳細は料金表 をご確認ください)
AWS Shield Advanced の代替ソリューション
レイヤー7 DDoS 攻撃の緩和には、弾力性のあるサービスの使用を強くお勧めします。DDoS 攻撃の量がオートスケーリング能力を圧倒する可能性があるため、アカウントに仮想アプライアンスをデプロイしないでください。Cloudflare や Akamai などのサードパーティサービスを使用する場合は、DDoS 緩和機能がサービスに含まれていることを確認してください。また、サードパーティのコンテンツ配信ネットワークを設定する際にはドメイン名をそこに向けることになり、そのサービスのダウンや大規模な DDoS を緩和できない場合、トラフィックが AWS アカウントに到達しなくなることに注意してください。
評価のガイダンス
- Shield Advanced を有効にしていますか?
- ビジネスサポートまたはエンタープライズサポートを契約していますか?
- 重要なアプリケーションにヘルスチェックを設定していますか?
- すべてのリソース (ALB/APIGW…) を Shield Advanced の保護対象リソースとして追加しましたか?(注:追加コストなしで AWS Firewall Manager を使用してこれを行うことができます)
- 自動修復を設定しましたか?
- L7 DDoS 攻撃を緩和するためにサードパーティソリューションも有効です。ただし、組織内のすべてのワークロードがそのサービスによって保護されていることを確認するコントロールが整っていること(一貫性)、および DDoS 緩和機能が契約されていることを確認してください。多くの場合、CDN とは別にライセンスされています。
AWS Shield Advanced の使用開始
AWS Shield と AWS WAF を使用した AWS での DDoS 保護
料金
- AWS Shield 料金
- AWS Shield Standard は AWS のすべてのお客様に無料で提供されています
- AWS Shield Advanced は 1 年間のサブスクリプション契約と月額料金の支払いと、Shield Advanced を実行する AWS サービスによってはデータ転送量に基づく使用料金がかかります