AWSセキュリティ【AWS Shield】:DDOS攻撃から防護する
AWSによるDDoS攻撃に対する保護を提供するサービスです。
AWS Shield には「スタンダード」と「アドバンスト」のグレードがあり、
「スタンダード」はAWSを利用している時点で自動的に無料で適用されており、「アドバンスト」は有料で設定が必要です。
DDOSとは?
不正なパケットや大量のパケットを送り込むことで、サービス停止に追い込むDos攻撃で、ネットワークを使って、乗っ取った大量のPCで構成したボットネットを使った攻撃をDDoS攻撃としています
AWS Shield Standard 無料サービスの守備範囲は?
- ネットワーク層、トランスポート層を標的としたDDos攻撃を保護する。
- AWSサービスへの受信トラフィックをモニタリングし、悪意のあるトラフィックがあれば検出する。
- 攻撃を自動的に緩和する。
- DDoS攻撃の履歴を参照したり、検知した内容をメールで送信したりはできません
有料サービス AWS Shield Advanced とは?
- アプリケーション層を対象としたDDoS攻撃を検出します。
- 攻撃内容によって、防御するためのアクセス制御ルールへ自動的に設定を書き換えるなどの追加の攻撃軽減を行います。
- ネットワーク層、トランスポート層を標的への攻撃の通知とフォレンジックレポート (発生元 IP、攻撃ベクトルなど)
- アプリケーション層を標的への攻撃の通知とフォレンジックレポート
( トップトーカーのレポート、サンプリングされたリクエストなど) - ネットワーク層、トランスポート層、アプリケーション層に渡った履歴レポート
- 重要度が高いイベントでのインシデント管理と、攻撃中のカスタム軽減処置、攻撃後の分析
- DDoS攻撃の影響で請求金額が大きく上がった場合にかかった費用の払い戻してくれます。
- DRTサポート(DDoS Response Team Support)という、24時間365日の専門サポートが受けられます。
- 2020年6月9日にAWS Shield Advancedのアップデートがあり、DDosイベント検出時、DRT側からユーザーに連絡してくれるようになりました。
DRTから連絡が来る条件
- Amazon Route 53 ヘルスチェックが異常になった場合
- Elastic IPアドレス、またはAWS Global Acceleratorアクセラレーターへのネットワークレイヤーイベントとトランスポートレイヤーイベント
- Amazon CloudFrontディストリビューション、およびApplication Load BalancerへのWebリクエストフラッド
AWS Shield Advanced の料金について
1年間契約、月額料金3,000USD は高い感じをうけますが、
- 1契約で複数のAWSアカウントに適用できる
- DDoS攻撃の影響で請求金額が大きく上がった場合にかかった費用がクレジットで返ってくる
(翌月以降のShield Advanced料金でのみ使用可)
以上を含むので、大規模システム、ミッションクリティカル用途では検討有りでは。
| 料金 | AWS Shield Standard | AWS Shield Advanced |
| サブスクリプション契約 | なし | 1 年間 |
| 月額料金 (注 1 を参照) | 追加料金なし | 3,000.00USD |
| データ転送 (アウト) 使用料金 | 追加料金なし | AWS Shield Advanced のデータ転送使用料金は、以下の表のとおり適用されます。 |
AWS Shield Advanced のデータ転送 (アウト) 使用料金 (GB あたり)
| Amazon CloudFront | ELB | Elastic IP (EC2 / Network Load Balancer) | AWS Global Accelerator | Route 53 | |
| 最初の 100 TB | 0.025USD | 0.05USD | 0.05USD | 0.05USD | 追加料金なし |
| 次の 400 TB | 0.02USD | 0.04USD | 0.04USD | 0.04USD | 追加料金なし |
| 次の 500 TB | 0.015USD | 0.03USD | 0.03USD | 0.03USD | 追加料金なし |
| 次の 4 PB | 0.01USD | お問い合わせ | お問い合わせ | お問い合わせ | 追加料金なし |
| 5 PB 超 | お問い合わせ | お問い合わせ | お問い合わせ | お問い合わせ | 追加料金なし |
AWSドキュメント、開発者ガイドから ※ 「翻訳は機械翻訳により提供されているので、一部修正」
保護計画を選択するためのヒント
多くの場合、AWS Shield Standard による保護で十分です。AWSサービスは、一般的DDoS攻撃に対して耐障害性を提供するように構築されており、AWS WAFや他AWSサービで補完すれば、適切な保護、軽減が達成されます。
さらに、技術的な専門知識があり、レイヤー7攻撃のモニタリングと軽減を管理すれば、多くの場合では、AWS Shield Standard を選択することをお勧めします。
お客様のビジネスや業界がDDoS攻撃対象になりやすい場合、レイヤー 3、 4、 7 攻撃に対するAWS保護と軽減の責任の大半をDRTサポートに頼る場合、AWS Shield アドバンスドが最適です。
AWS Shield アドバンスド はレイヤー 3、4 保護と軽減を提供するだけでなく、AWS WAF を追加料金なしで使用し、レイヤー7攻撃に対するDRTサポートも含まれます。
AWS WAF と AWS Shield Standard を使用する場合は、レイヤー 7 攻撃に対する独自の保護および軽減プロセスを設計する必要があります。
お客様は、AWS Shield アドバンスド リソースに対するDDoS攻撃に関する詳細情報も利用できます。AWSでは、最も一般的なレイヤー 3、4 攻撃に対して自動保護が可能ですが、攻撃詳細への可視性は限られています。
AWS Shield Standard では、レイヤー 3、4、7攻撃の詳細に関する広範なデータが提供されます。
AWS Shield アドバンスドでは、DDoSリソースにDDoS攻撃による予想外の請求急増があった場合に、コストを一定に保つ施策があります。
➡ サイトの重要性や規模、ユーザのサクセス負荷が高くないのであれば、無料の機能でOK
という方針の設計と思われます
➡ 業務的に重要導線を扱っていたり、機密性が高い場合に、有料版で、機能を高めて、DRTサポートも含めて手厚く!
という方針の設計と思われます
StandardとAdvancedの違い
 |
