シルク・ド・ソレイユに感動している法人営業課の松本です。
本日、Keynoteで発表されたAWS Shieldのセッション([SAC322]AWS Shield -Managed DDoS Protection-)に参加してきました。
AWS Shieldとは
[SAC322]AWS Shield -Managed DDoS Protection- セッション内容
従来のDDoSの攻撃について
従来のDDoS攻撃の内訳について
通常の対策はコストや時間の関係から実現が難しい
- 複雑な構成とし攻撃を防ぐ
- シンプルに帯域幅を増強する
- アプリケーションアーキテクチャの見直し
運用が手動である
- 攻撃緩和のためにオペレータが手動で対応
- コンテンツからは距離の離れたスクラビング場所にて再ルーティングしなければならない
- 緩和までに時間がかかる
AWSのDDoSへのアプローチとは
- 差別化につながらない重労働はやめる
- 可用性の確保
AWS Shieldは自動的に標準的な攻撃から守ってくれるし、AWSは高可用性を実現している
AWSでDDoSへの保護を実現
- AWSグローバルインフラに統合されている
- 常に有効で、外部へのルーティングなしに速く攻撃緩和ができる
- AWSのデータセンターはInternetへの通信は冗長化されている
- 最も一般的なインフラストラクチャ攻撃に対する保護も可能
- SYN/ACK フラッド、UDPフラッド、DNSリフレクション攻撃などにも有効
- 追加のコストは不要
顧客からの継続的な依頼、質問
- AWSはDDoS攻撃から守ってくれるのか
- 巨大なDDoS攻撃に対してなにをしてくれるのか
- DDoSの専門家と話をしたい
- 攻撃されたときの状況をどのように可視化できるか
- アプリケーションレイヤーの攻撃から守ってくれるのか
- DDoSのためにスケールさせるとコストが高くなってしまう
AWS Shield
- AWS Shield Standard すべてのAWSユーザーは追加コストなしに有効化される
- AWS Shield Advanced 月額固定費用とトラフィック流用に応じたコストを払うことで、より高度な保護を提供
4つの特長とメリット
- AWSグローバルインフラに統合されている
- 常に有効であり、検出と緩和を行う
- 手頃な価格である
- ユーザーのアプリケーションに合わせたカスタマイズ保護が可能である
AWS Shield Standard
- L3 & 4 保護
- L7 保護
- 独自のBlackWatch systemsを使用し、攻撃を緩和
- 緩和のためのキャパシティ追加
- 検出と緩和を継続的に改善することにコミット
- 追加のコストは不要
AWS Shield Advanced
以下のリソースに本日より対応
- Application Load Balancer
- Classic Load Balancer
- Amazon CloudFront
- Amazon Route53
以下のリージョンにて本日より対応
- US East (N,Virginia)
- US West (Oregon)
- EU (Ireland)
- Asia Pacific (Tokyo)
AWS WAF for Application Load Balancer
AWS WAFがALBに対応しました。
AWS Shield Advancedのサービスの流れ
常に有効なモニタリングと検出
- ネットワークフローのモニタリング
- アプリケーショントラフィックのモニタリング
- シグネチャベースの検出
- ヒューリスティックベースの異常検出
- ベースライン
ヒューリスティックベースの異常検出
ベースライン
L3/4インフラストラクチャでの保護
- Deterministic filtering
- スコアリングに基づくトラフィックの優先順位付け
- Advanced routeing policies
L7 での保護
- Webトラフィックフィルタとカスタムルール
- 悪意あるリクエストのブロック
- アクティブな監視とチューニング
これらを以下の方法を使って実施する。
- セルフサービス
- DDoS専門家への依頼
- 予防的なDDoSレスポンスチームへの依頼
攻撃の通知とレポート
- CloudWatchを使ったリアルタイムの攻撃通知
- ほぼリアルタイムなメトリクスやパケットのキャプチャ
- 攻撃ヒストリレポート
24/7 でのDDoSレスポンスチームへのアクセス
クリティカルもしくは緊急レベルのサポートケースは直接DDoS専門家へリダイレクトされる。
複雑なケースの場合はDDoSレスポンスチームへエスカレーションされる。彼らはAWSやAmazon.comを守ってきた深い経験を持っている。
コスト抑制
DDoSに起因する各サービスのスケーリングコストはAWSが吸収する
デモ
のちほど動画を掲載します
利用料金
StandardとAdvanced、どちらを選べばよいか
まとめ
AWS Shieldはデフォルトで有効になっているため(しかも無料)、ユーザーはあまり意識せずセキュリティが強化されることとなります。これは非常によいですね。
そして、さらなる保護を望む場合にも各AWSリソースが対象になっていたり、実際に攻撃を受けてしまった場合にもAWSやAmazon.comをDDoSから守ってきたDDoSレスポンスチームの存在が非常に強力です。 まずはStandardから始めてみて、というクラウドらしい導入ステップが踏めるので多くのユーザーで活用が進みそうです。