📝

AWS Shieldってなんだろ?

2021/04/24に公開

AWS Shieldについて調べてみました。

AWS Shield(マネージド型の DDoS 保護)| AWS

概要

  • マネージド型の分散サービス妨害 (DDoS) に対する保護サービス
  • AWS で実行しているアプリケーションを保護
  • 常時稼働の検出と自動インライン緩和策を提供
  • AWS サポートに依頼する必要はない
  • スタンダードとアドバンストがある
  • スタンダードは追加料金なしで自動的に設定され、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃を防御
  • 高レベルな保護には、AWS Shield Advanced
  • 大規模で高度な DDoS 攻撃に対する追加の検出および緩和策と、ほぼリアルタイムの可視性を提
  • WAF と統合

まずスタンダートとアドバンストがあるとのことです。
スタンダートは無料で自動的に設定され、レイヤー 3、4へのDDos攻撃を防御するようです。
アドバンストは追加料金ありで、スタンダードでの防御に加えてより高い防御力を誇るようです。

メリット

  • シームレスな統合とデプロイメント
    • AWS リソースは、自動的に AWS Shield Standard を含み、最も頻繁に発生する一般的なネットワークおよびトランスポートレイヤーの DDoS 攻撃から保護
  • カスタマイズ可能な保護
    • Shield Advanced では、インフラストラクチャ (レイヤ 3 および 4) の保護のためのリソースを、柔軟に選択可能
  • マネージド型保護と攻撃の可視化
    • Shield Advanced は、リソース固有の検出機能を強化し、複雑なあるいは大規模な攻撃に対して、高度な緩和機能とルーティングの手法を採用
  • コスト効率
    • Shield Standard は、AWS のすべてのお客様に対し、追加料金なしで自動的に有効化

マネージド型で設定の変更も簡単かつ迅速なので、攻撃に対する迅速な対応が可能とのことです。また、攻撃によってEC2を保護するリソースの使用量が増えた場合、アドバンストでは請求の保護もできるそうです。

よくある質問 - AWS Shield | AWS

AWS Shield とは何ですか?

  • AWS で実行されるアプリケーションを Distributed Denial of Service (DDoS) 攻撃から保護するマネージド型のサービス
  • Shield Standard は、すべてのお客様に対し追加料金なしで自動的に有効化
  • Shield Advanced は任意で利用できる有料サービス
  • Shield Advanced により、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Route 53 で実行中のアプリケーションを標的とする、高度化された大規模な攻撃からの保護が強化

改めてですが、スタンダードは無料かつ自動で有効化、アドバンストは有料で高度な保護ができます。
アドバンストの対象サービスはEC2、ELB、CloudFront、GA、Route 53のようです。

AWS Shield Standard とは何ですか?

  • SYN/UDP フラッド攻撃やリフレクション攻撃といった最も頻繁に発生する一般的なインフラストラクチャ (レイヤー 3 およびレイヤー 4) 攻撃を防御

こちらが無料で提供される範囲ですね。

AWS Shield Advanced とは何ですか?

  • Shield Advanced により、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Route 53 の保護されているリソースで実行中のアプリケーションを標的とする、高度化された大規模な攻撃からの保護が強化
  • ネットワークトラフィックに対するフローベースの常時モニタリングやアクティブなアプリケーションモニタリングを備え、疑わしい DDoS インシデントがほぼリアルタイムで通知
  • Shield Advanced には高度な攻撃緩和機能およびルーティング技術が採用され、攻撃を自動的に緩和
  • ビジネスサポートまたはエンタープライズサポートに加入している場合、DDoS レスポンスチーム (DRT) が 24 時間年中無休で待機し、アプリケーションレイヤー DDoS 攻撃の管理と緩和をサポート
  • 保護されている Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 が DDoS 攻撃に起因してスケーリングされても、スケーリング用 DDoS コスト保護機能によって AWS の請求は使用量の急上昇から保護される

対象サービスは先述の通りです。
常時監視の機能によりリアルタイム検知、攻撃の自動緩和が可能で、ビジネスかエンタープライズプランならDRTによるサポートも受けられるとのことです。
また、DDos攻撃によるスケーリングが発生しても、コスト保護機能があるので、請求の急上昇も保護されるようです。

スケーリング用 DDoS コスト保護とは何ですか?

  • 保護されている対象サービスの使用量が DDoS 攻撃によって急上昇した場合に備えてShield Advanced にはその料金上昇からお客様を守る DDoS コスト保護が含まれている
  • DDoS 攻撃により AWS Shield Advanced が保護するリソースのいずれかの使用量が上昇した場合は、お客様は通常の AWS サポートチャネル経由で調整をリクエストできる

アドバンストのみで利用できるサービスのようですね。
実際に使用量が急上昇した際はAWSサポートに連絡するみたいです。

AWS でホストされていないウェブサイトにも、AWS Shield の保護機能を使用できますか?

  • AWS Shield は AWS 外のカスタムオリジンをサポートする Amazon CloudFront と統合されている

CloudFrontはEC2などのAWSサービス以外にも、オンプレミスのサーバーなどでも使用できますよね。オンプレミスのサーバーがオリジンとなっているCloudFrontに対してもShieldは使用できるとのことです。

すべての AWS Shield の機能で IPv6 を使用できますか?

  • AWS Shield の検出と緩和機能はすべて、IPv6 と IPv4 で動作する
  • これにより、サービスのパフォーマンス、スケーラビリティ、可用性が著しく変化することはない

どちらにも対応しているようです。

AWS Shield をテストすることはできますか?

  • AWS の適正利用規約には、禁止されているセキュリティ違反やネットワーク不正使用をはじめ、AWS で許可されている行為と禁止されている行為が説明されている
  • ただし、DDoS シミュレーションテストや侵入テストなどのシミュレートされたイベントはこれらの行為と区別できないことがよくあるため、DDoS テスト、侵入テスト、脆弱性スキャンを実施する許可をお客様がリクエストできるポリシーを確立しました。

できるようですが、ルールが定められているようなので実施する場合はドキュメント等を要チェックです!

【AWS Shield とは?】初心者にもわかりやすく解説 | WafCharm(ワフチャーム) - AIによるAWS / Azure WAFのルール自動運用サービス

AWS Shield で保護するDDoSとは?

  • DDoS(Distributed Denial of Service)とは、DoS攻撃と呼ばれるサービスダウンを目的とした攻撃のひとつで、分散型DoS攻撃とも呼ばれる
  • 1台のコンピュータで攻撃してサービスをダウンさせる手法はDoS攻撃と呼ばれる
  • ウイルス感染などでボット化した大量のコンピュータを利用した攻撃で、サービスダウンに追い込むのがDDos
  • DDoS攻撃が発生した場合、ゲートウェイ側で攻撃元のIPアドレスを制限しようとしても数が多すぎるため設定が追い付かず、対策が難しい
  • WAF(Webアプリケーションファイアウォール)であればパケットの中身まで解析して制御の対象にできるので緩和程度であれば有効

改めてですが、たくさんのコンピュータで攻撃するのがDDosですね。
例えばですが、人力でやるとしたら100人が別々の端末から特定のサイト上でF5連打しているようなイメージです。

スタンダード(無料)

  • DDoS攻撃の履歴を参照したり、レポート化したり、通知を送信したりということはできない
  • AWS WAFを同時に利用すれば、L7層のDDoSを検知したり通知したりといったことが可能

アプリレベルでも保護したいけどアドバンストは高い!という場合はスタンダード + WAFがいいのかもしれませんね。

アドバンスト(有料)

  • アプリケーションレイヤー(L7層)におけるDDoS攻撃も検出
  • DDoS攻撃の影響で請求金額が大きく上がった場合の払い戻し
  • 24時間365日の専門サポート
  • アドバンストを利用する場合の月額料金は3,000.00USD + 対象サービスからのデータ転送量に基づく使用料金

最低3000USDなので個人レベルで使うことはなさそうですが、企業レベルでは要件によって検討というかんじですね。

コンソール

WAF & Shieldというくくりになっています。
image.png

Shieldのみのコンソールだとこんなかんじです。
image.png
image.png

これはアドバンストの設定のようです。
image.png
image.png

アドバンストで設定するとここに表示されそうです。
image.png

イベント発生時の状況が確認できるようです。
image.png

グローバル脅威ダッシュボードというらしいです。

AWSがAmazon EC2、Amazon CloudFront、Elastic Load Balancing、Amazon Route53でお客様を監視および軽減している最も重要な攻撃のサンプルです。

とのことです。
image.png
image.png

アドバンストの設定手前です。
月額3000USD + 転送料、12か月間の使用継続などに了承するかどうかですね。
image.png

まとめ

今回はAWS Shieldについて調べてみました。
以下がポイントでした。

  • スタンダートとアドバンスト
  • スタンダートは無料で自動的に設定され、レイヤー 3、4へのDDos攻撃を防御
  • アドバンストの対象サービスはEC2、ELB、CloudFront、GA、Route 53
  • アドバンストは常時監視の機能によりリアルタイム検知、攻撃の自動緩和が可能で、コスト保護機能などがあり、ビジネスかエンタープライズプランならDRTによるサポートも受けられる
  • アドバンストは最低3000USD

参考になれば幸いです。

Discussion