AWS Shield アンドシールドアドバンスドの仕組み

AWS Shield Standard また、ネットワーク層、トランスポート層 (レイヤー 3 と 4)、アプリケーションレイヤー (レイヤー 7) AWS のリソースに対する分散型サービス拒否 (DDoS) AWS Shield Advanced 攻撃からの保護も提供します。DDoS 攻撃は、侵害された複数のシステムが、ターゲットに対してトラフィックでフラッディングを試みる攻撃です。DDoS 攻撃は正当なエンドユーザーがターゲットのサービスにアクセスするのを妨げ、圧倒的なトラフィック量のためにターゲットがクラッシュする可能性があります。

AWS Shield さまざまな既知の DDoS 攻撃ベクトルやゼロデイ攻撃ベクトルからの保護を提供します。Shield の検出および緩和は、検出時において、サービスにとって明示的に既知でなくても、脅威に対するカバレッジを提供するように設計されています。Shield Standard は、 AWSの使用時に自動的に提供され、追加料金はかかりません。

Shield が検出する攻撃のクラスには、次のものが含まれます。

• [Network volumetric attacks (layer 3)] (ネットワークボリューム攻撃 (レイヤー 3)) – これは、インフラストラクチャレイヤー攻撃のベクトルのサブカテゴリです。これらのベクトルは、正当なユーザーへのサービスを拒否するために、ターゲットネットワークまたはリソースの容量を飽和させることを試みます。

• [Network protocol attacks (layer 4)] (ネットワークプロトコル攻撃 (レイヤー 4)) – これは、インフラストラクチャレイヤー攻撃のベクトルのサブカテゴリです。これらのベクトルは、プロトコルを悪用してターゲットリソースへのサービスを拒否します。ネットワークプロトコル攻撃の一般的な例は TCP SYN フラッドです。TCP SYN フラッドは、サーバー、ロードバランサー、ファイアウォールなどのリソースの接続状態を使い果たす可能性があります。ネットワークプロトコル攻撃は、帯域幅消費型である場合もあります。例えば、大規模な TCP SYN フラッドには、ターゲットリソースまたは中間リソースの状態を使い果たしながら、ネットワークの容量を飽和させる意図があるかもしれません。

• アプリケーションレイヤー攻撃 (レイヤー 7) - このカテゴリの攻撃ベクトルは、ウェブリクエストのフラッドなど、ターゲットに対して有効なクエリをアプリケーションにフラッディングすることによって、正当なユーザーへのサービス提供の拒否を試みます。

目次

• AWS Shield Standard 概要
• AWS Shield Advanced 概要
  • AWS Shield Advanced 保護リソース
  • AWS Shield Advanced 機能とオプション
  • AWS Shield Advanced をサブスクライブして追加の保護を適用するか否かの判断
• DDoS 攻撃の例
• AWS Shield イベントの検出方法
  • インフラストラクチャレイヤーの脅威の検出ロジック
  • アプリケーションレイヤーの脅威の検出ロジック
  • アプリケーション内の複数のリソースの検出ロジック
• AWS Shield イベントの軽減方法
  • 緩和機能
  • AWS Shield CloudFront と Route 53 の緩和ロジック
  • AWS ShieldAWS リージョンの緩和ロジック
  • AWS ShieldAWS Global Accelerator 標準アクセラレータの緩和ロジック
  • AWS Shield Advanced エラスティック IP の緩和ロジック
  • AWS Shield Advanced Web アプリケーションの緩和ロジック