【セッションレポート】FunPlusのDDoS対策

記事タイトルとURLをコピーする

本日からラスベガスではAWS re:Inventが開催されています。
まあ私は現地に行けなかったので、オンラインでセッションを見ています。

では、FunPlus社によるDDoS防御に関するセッションのレポートをします。

セッション概要

  • 原題
    • Funplus在亚马逊云科技上抵御DDoS攻击的实践
  • 概要
    1. AWSでDDoS対策をする方法(From AWS)
    2. ゲーム会社FunPlusのDDoS対策(From FunPlus)
    3. SRTの紹介(From AWS)

なぜ聴講したか

AWSを使用したDDoS防御の実状を知りたいから

聴講レポート

1. Jinggao Qin氏(Solutions Architect at AWS)

  • DDoSは分散環境からの攻撃であり、帯域やリソースを消費させる
  • AWSのDDoS緩和のベストプラクティスを説明
  • アプリケーションレイヤの防御について
    • コンピューティング(EC2)
      • 最小権限の原則を守ることが重要。サブネットの規則、セキュリティグループ、アクセスコントロールリストの設定など
    • 攻撃を受けた時のスケール能力も重要
      • EC2を自動的にスケールさせる
      • EC2の前にロードバランサーを配置し高トラフィック攻撃を緩和する
      • ALBの前にCloudFrontを配置すれば、レイヤ3/4の全ての攻撃をEdgeで緩和することもできる、WAFもBindingできる
  • TCPレイヤの防御について
    • 最小権限、攻撃面の最小化の原則はEC2と同じ
    • EC2の前にNLB + Global Accelerator + ShieldAdvanced
      • TCP Flood を緩和できる
      • 攻撃状況をモニタリングでき対策を打てる
  • UDPレイヤの防御について
    • 攻撃者がサービスのIPアドレスやポート番号を知ることができたら、トラフィックがEC2に届いてしまう
    • ハニーポット戦略が有効
      • 攻撃されたら、EC2インスタンスのEIPを変更し、ハニーポットにトラフィックが流れるようにする

2.Haoting Wu氏(Info Sec Director at Funplus)

  • DNSサービスの保護
    • Route 53には十分な管理・解析・防御の能力がある
  • HTTPサービスの保護
    • ALBとWAFを使う
  • UDPサービスの保護
    • 低遅延が必要な時に使われる、QEPタイプのゲームではバトルルーム内での動作の通信
    • すぐにEC2インスタンスが作られ、クライアント端末と通信し、戦闘終了後すぐ削除される
    • EIPは一時的に有効なだけなので、攻撃者は全トラフィックを受信するアドレスを特定できない
    • したがって、攻撃者は全ゲームプレイヤーに大きな影響を与える攻撃ができない
  • TCPサービスの保護
    • 多くのゲームはTCP上に独自のプロトコルを構築し、全体的な通信効率を上げている
    • TCP Flood、SYN Floodなどの脅威がある
    • CLBをTCP Proxyとして使い、クライアント端末とのTCP通信を終端させる
  • 管理について
    • コスト管理とサービス管理のためマルチアカウント構成
    • セキュリティ管理は、幅広く、深く、素早い設定が必要なので、AWS標準の管理画面では足りない
    • OpenAPIを使って、自分たちでセキュリティ管理システムを開発した
      • マルチクラウドやハイブリッドクラウドの場合より重要だ
      • マルチアカウント配下にあるリソースやセキュリティ製品を一元管理できる
  • ゲームはリアルタイム性が重要、素早い防御が必要
    • AWS WAFは強力なルールとエンジンを持っていて、一般的な攻撃を防いでくれる
    • AWS WAFの後ろに更に独自開発のWAFを設置し、トラフィックのリアルタイム分析・レポート・自動的な対策を生成し、OpenAPI経由でAWS WAFのルールを更新し、攻撃を止める

3.Yaguang Hu(Technical Account Manager at AWS)

  • SRT(AWS Shield Response Team)の紹介

感想

ゲーム会社がどのようにDDoS防御を行なっているかを垣間見ることができ、勉強になりました。 特にUDPの通信をする時に、EC2インスタンスをテンポラリーで作成し、固定のEIPを使わないというのは、とても面白いと感じました。 また、自動的なAWS WAFのルール変更まで実装しているのは素晴らしいですね。

渡辺 信秀(記事一覧)

2017年入社。趣味は言語学習。