AWS Shield の仕組み

AWS Shield Standard および AWS Shield Advanced は、ネットワークレイヤーとトランスポートレイヤー (レイヤー 3 と 4)、およびアプリケーションレイヤー (レイヤー 7) の AWS のリソースのために、Distributed Denial of Service (DDoS) 攻撃に対する保護を提供します。DDoS 攻撃は、侵害された複数のシステムが、ターゲットに対してトラフィックでフラッディングを試みる攻撃です。DDoS 攻撃は正当なエンドユーザーがターゲットのサービスにアクセスするのを妨げ、圧倒的なトラフィック量のためにターゲットがクラッシュする可能性があります。

AWS Shield は、幅広い既知の DDoS 攻撃ベクトルおよびゼロデイ攻撃ベクトルに対する保護を提供します。Shield の検出および緩和は、検出時において、サービスにとって明示的に既知でなくても、脅威に対するカバレッジを提供するように設計されています。

Shield が検出する攻撃のクラスには、次のものが含まれます。

• [Network volumetric attacks (layer 3)] (ネットワークボリューム攻撃 (レイヤー 3)) – これは、インフラストラクチャレイヤー攻撃のベクトルのサブカテゴリです。これらのベクトルは、正当なユーザーへのサービスを拒否するために、ターゲットネットワークまたはリソースの容量を飽和させることを試みます。

• [Network protocol attacks (layer 4)] (ネットワークプロトコル攻撃 (レイヤー 4)) – これは、インフラストラクチャレイヤー攻撃のベクトルのサブカテゴリです。これらのベクトルは、プロトコルを悪用してターゲットリソースへのサービスを拒否します。ネットワークプロトコル攻撃の一般的な例は TCP SYN フラッドです。TCP SYN フラッドは、サーバー、ロードバランサー、ファイアウォールなどのリソースの接続状態を使い果たす可能性があります。ネットワークプロトコル攻撃は、帯域幅消費型である場合もあります。例えば、大規模な TCP SYN フラッドには、ターゲットリソースまたは中間リソースの状態を使い果たしながら、ネットワークの容量を飽和させる意図があるかもしれません。

• アプリケーションレイヤー攻撃 (レイヤー 7) - このカテゴリの攻撃ベクトルは、ウェブリクエストのフラッドなど、ターゲットに対して有効なクエリをアプリケーションにフラッディングすることによって、正当なユーザーへのサービス提供の拒否を試みます。

目次

• AWS Shield Standard の概要
• AWS Shield Advanced の概要
  • AWS Shield Advanced で保護されたリソース
  • AWS Shield Advanced の機能とオプション
  • AWS Shield Advanced をサブスクライブして追加の保護を適用するか否かの判断
• DDoS 攻撃の例
• AWS Shield がイベントを検出する方法
  • インフラストラクチャレイヤーの脅威の検出ロジック
  • アプリケーションレイヤーの脅威の検出ロジック
  • アプリケーション内の複数のリソースの検出ロジック
• AWS Shield がイベントを緩和する方法
  • 緩和機能
  • AWS Shield CloudFront と Route 53 の緩和ロジック
  • AWS リージョンの AWS Shield 緩和ロジック
  • AWS Global Accelerator標準アクセラレーターの AWS Shield 緩和ロジック
  • Elastic IP の AWS Shield Advanced 緩和ロジック
  • ウェブアプリケーションの AWS Shield Advanced 緩和ロジック