【re:Invent 2016】【レポート】[SAC322] AWS Shield -Managed DDoS Protection-

記事タイトルとURLをコピーする

シルク・ド・ソレイユに感動している法人営業課の松本です。

本日、Keynoteで発表されたAWS Shieldのセッション([SAC322]AWS Shield -Managed DDoS Protection-)に参加してきました。

AWS Shieldとは

[SAC322]AWS Shield -Managed DDoS Protection- セッション内容

従来のDDoSの攻撃について

従来のDDoS攻撃の内訳について

通常の対策はコストや時間の関係から実現が難しい

  • 複雑な構成とし攻撃を防ぐ
  • シンプルに帯域幅を増強する
  • アプリケーションアーキテクチャの見直し

運用が手動である

  • 攻撃緩和のためにオペレータが手動で対応
  • コンテンツからは距離の離れたスクラビング場所にて再ルーティングしなければならない
  • 緩和までに時間がかかる

AWSのDDoSへのアプローチとは

  • 差別化につながらない重労働はやめる
  • 可用性の確保

AWS Shieldは自動的に標準的な攻撃から守ってくれるし、AWSは高可用性を実現している

AWSでDDoSへの保護を実現

  • AWSグローバルインフラに統合されている
  • 常に有効で、外部へのルーティングなしに速く攻撃緩和ができる
  • AWSのデータセンターはInternetへの通信は冗長化されている

  • 最も一般的なインフラストラクチャ攻撃に対する保護も可能
  • SYN/ACK フラッド、UDPフラッド、DNSリフレクション攻撃などにも有効
  • 追加のコストは不要

顧客からの継続的な依頼、質問

  • AWSはDDoS攻撃から守ってくれるのか
  • 巨大なDDoS攻撃に対してなにをしてくれるのか
  • DDoSの専門家と話をしたい
  • 攻撃されたときの状況をどのように可視化できるか
  • アプリケーションレイヤーの攻撃から守ってくれるのか
  • DDoSのためにスケールさせるとコストが高くなってしまう

AWS Shield

  • AWS Shield Standard すべてのAWSユーザーは追加コストなしに有効化される
  • AWS Shield Advanced 月額固定費用とトラフィック流用に応じたコストを払うことで、より高度な保護を提供

4つの特長とメリット

  • AWSグローバルインフラに統合されている
  • 常に有効であり、検出と緩和を行う
  • 手頃な価格である
  • ユーザーのアプリケーションに合わせたカスタマイズ保護が可能である

AWS Shield Standard

  • L3 & 4 保護
  • L7 保護

  • 独自のBlackWatch systemsを使用し、攻撃を緩和
  • 緩和のためのキャパシティ追加
  • 検出と緩和を継続的に改善することにコミット
  • 追加のコストは不要

AWS Shield Advanced

以下のリソースに本日より対応

  • Application Load Balancer
  • Classic Load Balancer
  • Amazon CloudFront
  • Amazon Route53

以下のリージョンにて本日より対応

  • US East (N,Virginia)
  • US West (Oregon)
  • EU (Ireland)
  • Asia Pacific (Tokyo)

AWS WAF for Application Load Balancer

AWS WAFがALBに対応しました。

AWS Shield Advancedのサービスの流れ

常に有効なモニタリングと検出

  • ネットワークフローのモニタリング
  • アプリケーショントラフィックのモニタリング

  • シグネチャベースの検出
  • ヒューリスティックベースの異常検出
  • ベースライン

ヒューリスティックベースの異常検出

ベースライン

L3/4インフラストラクチャでの保護

  • Deterministic filtering
  • スコアリングに基づくトラフィックの優先順位付け
  • Advanced routeing policies

L7 での保護

  • Webトラフィックフィルタとカスタムルール
  • 悪意あるリクエストのブロック
  • アクティブな監視とチューニング

これらを以下の方法を使って実施する。

  • セルフサービス
  • DDoS専門家への依頼
  • 予防的なDDoSレスポンスチームへの依頼

攻撃の通知とレポート

  • CloudWatchを使ったリアルタイムの攻撃通知
  • ほぼリアルタイムなメトリクスやパケットのキャプチャ
  • 攻撃ヒストリレポート

24/7 でのDDoSレスポンスチームへのアクセス

クリティカルもしくは緊急レベルのサポートケースは直接DDoS専門家へリダイレクトされる。
複雑なケースの場合はDDoSレスポンスチームへエスカレーションされる。彼らはAWSやAmazon.comを守ってきた深い経験を持っている。

コスト抑制

DDoSに起因する各サービスのスケーリングコストはAWSが吸収する

デモ

のちほど動画を掲載します

利用料金

AWS Shield Pricing

StandardとAdvanced、どちらを選べばよいか

まとめ

AWS Shieldはデフォルトで有効になっているため(しかも無料)、ユーザーはあまり意識せずセキュリティが強化されることとなります。これは非常によいですね。
そして、さらなる保護を望む場合にも各AWSリソースが対象になっていたり、実際に攻撃を受けてしまった場合にもAWSやAmazon.comをDDoSから守ってきたDDoSレスポンスチームの存在が非常に強力です。 まずはStandardから始めてみて、というクラウドらしい導入ステップが踏めるので多くのユーザーで活用が進みそうです。