はじめに

AWS Shieldには、課金なしでStandardと課金するAWS Shield Advancedがあります。
今回はその2つについて自分なりにわかりやすくまとめてみました。
https://aws.amazon.com/jp/shield/

Shield Standardとは

Standardは、AWSが提供するDDoS保護サービスであり、AWSを使用するすべての顧客に自動的に無償で提供されています。利用者が追加の手続きや設定をせずにこの保護を受けることができます。

CloudFront、Amazon Route 53、Elastic Load Balancing（ELB）、Amazon API GatewayなどのAWSサービスに自動的に統合されています。

Shield Advancedのメリット

Advancedは月額$3000と非常に高額ですが、Standardと比べた場合に下記のメリットがあります。
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/ddos-advanced-summary.html

可視性レポート機能

レイヤー3,レイヤー4,レイヤー7の攻撃に関する通知および履歴レポート
過去13ヶ月分の攻撃の履歴が確認可能

DDoS攻撃発生時の各種支援

DDoS対応チームのサポートが受けれるそうです。

Shield Standardで監視と分析を行うには

Shield Standardを利用している場合に、監視と分析を行う方法はないか考えてみました。

下記のAWSのサービスを利用して詳細なトラフィック分析や異常パターンの検出が行うことができるので、攻撃のサインである可能性を見極めることができると思います。

CloudFrontメトリクスを監視し、アラートを設定

CloudWatchを使用して、リクエスト数の急激な増加など、異常なトラフィックパターンをリアルタイムで異常なパターンを検出することが可能です。

CloudWatchアラームを使用して、異常を検出した際にSMSやメールで通知を受け取ることができます。

CloudFrontアクセスログの分析

CloudFrontのアクセスログをAmazon Athena、Amazon Elasticsearch Service などのツールを利用して分析することで、具体的なトラフィックパターンを調査し、異常な挙動や潜在的な攻撃を特定することができます。

ログには、リクエストされたオブジェクト、リクエストの日時、クライアントのIPアドレスなど、リクエストに関する詳細な情報が含まれているので、特定のIPアドレスからのリクエストが異常に多い、または特定の時間帯に集中してリクエストが発生しているなどのパターンを発見することが可能です。

レイヤーについて

各レイヤーにおける攻撃は、その特性と目的に応じて異なる防御戦略が必要となります。

防御対象レイヤー

レイヤー3
レイヤー4
レイヤー7(AWS Shield Advancedのみ)

レイヤー3とレイヤー4の攻撃は、ネットワークインフラやトランスポートメカニズム、レイヤー7の攻撃はアプリケーションの脆弱性を標的としています。

レイヤー7への主な攻撃は以下です。
DDos攻撃
SQLインジェクション
クロスサイトスクリプティング
一般的なサイバー攻撃（個人情報とかに対するものがメイン）

レイヤー7の場合にはAWS WAFを設定した方が良いかもしれません。
https://aws.amazon.com/jp/waf/

参考にさせていただきました

https://qiita.com/a-hiroyuki/items/a8624634d7eee8914b1e
https://eset-info.canon-its.jp/malware_info/special/detail/150916_1.html
https://business.ntt-east.co.jp/content/cloudsolution/column-85.html

終わりに

何かありましたらお気軽にコメント等いただけると助かります。
ここまでお読みいただきありがとうございます🎉