本日からラスベガスではAWS re:Inventが開催されています。
まあ私は現地に行けなかったので、オンラインでセッションを見ています。

では、FunPlus社によるDDoS防御に関するセッションのレポートをします。

セッション概要

• 原題
  • Funplus在亚马逊云科技上抵御DDoS攻击的实践
• 概要
  1. AWSでDDoS対策をする方法（From AWS）
  2. ゲーム会社FunPlusのDDoS対策（From FunPlus）
  3. SRTの紹介（From AWS）

なぜ聴講したか

AWSを使用したDDoS防御の実状を知りたいから

聴講レポート

1. Jinggao Qin氏（Solutions Architect at AWS）

• DDoSは分散環境からの攻撃であり、帯域やリソースを消費させる
• AWSのDDoS緩和のベストプラクティスを説明
• アプリケーションレイヤの防御について
  • コンピューティング（EC2）
    • 最小権限の原則を守ることが重要。サブネットの規則、セキュリティグループ、アクセスコントロールリストの設定など
  • 攻撃を受けた時のスケール能力も重要
    • EC2を自動的にスケールさせる
    • EC2の前にロードバランサーを配置し高トラフィック攻撃を緩和する
    • ALBの前にCloudFrontを配置すれば、レイヤ3/4の全ての攻撃をEdgeで緩和することもできる、WAFもBindingできる
• TCPレイヤの防御について
  • 最小権限、攻撃面の最小化の原則はEC2と同じ
  • EC2の前にNLB ＋ Global Accelerator ＋ ShieldAdvanced
    • TCP Flood を緩和できる
    • 攻撃状況をモニタリングでき対策を打てる
• UDPレイヤの防御について
  • 攻撃者がサービスのIPアドレスやポート番号を知ることができたら、トラフィックがEC2に届いてしまう
  • ハニーポット戦略が有効
    • 攻撃されたら、EC2インスタンスのEIPを変更し、ハニーポットにトラフィックが流れるようにする

2.Haoting Wu氏（Info Sec Director at Funplus）

• DNSサービスの保護
  • Route 53には十分な管理・解析・防御の能力がある
• HTTPサービスの保護
  • ALBとWAFを使う
• UDPサービスの保護
  • 低遅延が必要な時に使われる、QEPタイプのゲームではバトルルーム内での動作の通信
  • すぐにEC2インスタンスが作られ、クライアント端末と通信し、戦闘終了後すぐ削除される
  • EIPは一時的に有効なだけなので、攻撃者は全トラフィックを受信するアドレスを特定できない
  • したがって、攻撃者は全ゲームプレイヤーに大きな影響を与える攻撃ができない
• TCPサービスの保護
  • 多くのゲームはTCP上に独自のプロトコルを構築し、全体的な通信効率を上げている
  • TCP Flood、SYN Floodなどの脅威がある
  • CLBをTCP Proxyとして使い、クライアント端末とのTCP通信を終端させる
• 管理について
  • コスト管理とサービス管理のためマルチアカウント構成
  • セキュリティ管理は、幅広く、深く、素早い設定が必要なので、AWS標準の管理画面では足りない
  • OpenAPIを使って、自分たちでセキュリティ管理システムを開発した
    • マルチクラウドやハイブリッドクラウドの場合より重要だ
    • マルチアカウント配下にあるリソースやセキュリティ製品を一元管理できる
• ゲームはリアルタイム性が重要、素早い防御が必要
  • AWS WAFは強力なルールとエンジンを持っていて、一般的な攻撃を防いでくれる
  • AWS WAFの後ろに更に独自開発のWAFを設置し、トラフィックのリアルタイム分析・レポート・自動的な対策を生成し、OpenAPI経由でAWS WAFのルールを更新し、攻撃を止める

3.Yaguang Hu（Technical Account Manager at AWS）

• SRT(AWS Shield Response Team)の紹介

感想

ゲーム会社がどのようにDDoS防御を行なっているかを垣間見ることができ、勉強になりました。 特にUDPの通信をする時に、EC2インスタンスをテンポラリーで作成し、固定のEIPを使わないというのは、とても面白いと感じました。 また、自動的なAWS WAFのルール変更まで実装しているのは素晴らしいですね。