AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド
開発者ガイド (API バージョン 2015-08-24)

AWS Shield の詳細

分散サービス妨害 (DDoS) 攻撃は、多数の侵害されたシステムが、ネットワークやウェブアプリケーションなどのターゲットでトラフィックを氾濫させようとする攻撃です。DDoS 攻撃は正当なユーザーがサービスにアクセスするのを妨げ、圧倒的なトラフィック量のためにシステムがクラッシュする可能性があります。

AWS には、DDoS 攻撃に対する 2 つのレベルの保護として、AWS Shield Standard と AWS Shield アドバンスド が用意されています。

AWS Shield Standard

すべての AWS のお客様は、追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができます。AWS Shield Standard では、ウェブサイトやアプリケーションを標的とする、一般的かつ頻繁に発生するネットワークおよび転送レイヤーの DDoS 攻撃を防御します。AWS Shield Standard は AWS のすべてのお客様を保護しますが、Amazon CloudFront および Amazon Route 53 を使用すると、特にメリットを受けることができます。これらのサービスは、インフラストラクチャ (レイヤー 3 および 4) を標的とした既知のすべての攻撃に対して総合的に可用性を保護できます。

AWS Shield アドバンスド

Amazon Elastic Compute Cloud、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53、AWS Global Accelerator などのリソースで実行されるウェブアプリケーションを標的とした攻撃に対する高レベルな保護には、AWS Shield アドバンスド をサブスクライブできます。AWS Shield アドバンスド は、DDoS 攻撃に対するこのようなリソースの拡張保護を提供します。

この追加された保護の例として、Shield アドバンスド を使用して Elastic IP アドレスを保護する場合、攻撃中に Shield アドバンスド は AWS ネットワークの境界にネットワーク ACL を自動的にデプロイします。これにより、Shield アドバンスド はより大きな DDoS イベントに対して保護を提供します。通常、ネットワーク ACL は Amazon VPC 内の Amazon EC2 インスタンスの近くで適用されます。ネットワーク ACL は、Amazon VPC とインスタンスが処理できるだけの大きさの攻撃を緩和できます。たとえば、Amazon EC2 インスタンスに接続されたネットワークインターフェイスが最大 10 Gbps を処理できる場合、10 Gbps を超えるボリュームは遅くなり、そのインスタンスへのトラフィックをブロックする可能性があります。攻撃中に、Shield アドバンスド はネットワーク ACL を AWS 境界に昇格させ、数テラバイトのトラフィックを処理できます。ネットワーク ACL は、典型的なネットワークの容量を超えてリソースを十分に保護することができます。ネットワーク ACL の詳細については、「ネットワーク ACL」を参照してください。

AWS Shield アドバンスド のお客様は、DDoS 攻撃を受けている中、24 時間 365 日体制の DDoS response team (DRT) にサポートを依頼できます。また、高度なリアルタイムのメトリクスとレポートへの排他的アクセスが可能であり、AWS リソースに対する攻撃の広範な可視性を得られます。DRT のサポートにより、AWS Shield アドバンスド には、ネットワークレイヤー (レイヤー 3) およびトランスポートレイヤー (レイヤー 4) 攻撃だけでなく、アプリケーションレイヤー (レイヤー 7) 攻撃に対しても、DDoS 攻撃のインテリジェント検出および軽減が含まれます。

DRT のサービスを使用するには、「ビジネスサポートプラン」または「エンタープライズサポートプラン」をサブスクライブする必要があります。

AWS Shield アドバンスド ではまた、DDoS 攻撃による AWS 料金の急増に対するコスト保護も可能になります。このコスト保護は、Elastic Load Balancing ロードバランサー、Amazon CloudFront ディストリビューション、Amazon Route 53 ホストゾーン、Amazon Elastic Compute Cloud インスタンス、AWS Global Accelerator アクセラレーターに提供されます。

AWS WAF は AWS Shield アドバンスド に追加料金なしで付属しています。AWS Shield アドバンスド の料金の詳細については、「AWS Shield アドバンスド 料金表」を参照してください。

DDoS 攻撃のタイプ

AWS Shield アドバンスド では、さまざまなタイプの攻撃に対して広範な保護が可能です。以下に例を示します。

User Datagram Protocol (UDP) 反射型攻撃

攻撃者はリクエストの発生元を偽装し、UDP を使用してサーバーから大量のレスポンスを引き出すことができます。攻撃対象の偽装 IP アドレスに向かう追加のネットワークトラフィックにより、対象のサーバーは遅くなり、正当なユーザーが必要なリソースにアクセスできなくなります。

SYN フラッド

SYN フラッド攻撃の目的は、接続を半開状態にして、システムの利用可能なリソースを枯渇させることです。ユーザーがウェブサーバーのような TCP サービスに接続すると、クライアントは SYN パケットを送信します。サーバーが肯定応答を返し、クライアントがそれ自体の肯定応答を返すことで、3 ウェイハンドシェイクが完了します。SYN フラッドでは、3 回目の肯定応答が返されることはなく、サーバーはレスポンスを待ったままになります。このため、他のユーザーはサーバーに接続できなくなります。

DNS クエリフラッド

DNS クエリフラッドでは、攻撃者は多数の DNS クエリを使用して DNS サーバーのリソースを枯渇させます。AWS Shield アドバンスド は、Route 53 DNS サーバーの DNS クエリのフラッド攻撃に対する保護に役立ちます。

HTTP フラッド/キャッシュ無効化 (レイヤー 7) 攻撃

GET および POST フラッドを含む HTTP フラッドにより、攻撃者はウェブアプリケーションの実際のユーザーからのように見せかけて多数の HTTP リクエストを送信します。キャッシュ無効化攻撃は、HTTP フラッドの一種です。HTTP リクエストのクエリ文字列のバリエーションを使用して、エッジでキャッシュされているコンテンツが使用されないようにし、オリジンウェブサーバーからコンテンツが送信されるようにすることで、オリジンウェブサーバーに損害につながる可能性があるほどの負荷をかけます。

AWS DDoS Response Team (DRT) について

AWS Shield アドバンスド では、複雑な DDoS イベントを AWS DDoS Response team (DRT) にエスカレートできます。DRT には、AWS、Amazon.com、およびその子会社の保護において豊富な経験があります。

レイヤー 3 およびレイヤー 4 攻撃の場合、AWS は自動攻撃検出を行い、お客様に代わって軽減策を事前に適用します。レイヤー 7 DDoS 攻撃の場合、AWS は攻撃検出を行い、CloudWatch アラームにより AWS Shield アドバンスド のお客様に通知しますが、軽減策を事前に適用しません。これは、有効なユーザートラフィックを誤って削除しないようにするためです。

また、可能性のある攻撃の前または最中に DRT に問い合わせて、カスタム軽減策を開発しデプロイすることもできます。たとえば、ウェブアプリケーションを実行していて、ポート 80 と 443 だけを開く必要がある場合は、DRT を使用してポート 80 と 443 を「許可」するように ACL を事前に設定できます。

AWS Shield アドバンスド のお客様には、レイヤー 7 攻撃を軽減する 2 つのオプションがあります。

  • お客様独自の軽減策を提供する: AWS WAF は AWS Shield アドバンスド に追加料金なしで付属しています。独自の AWS WAF ルールを作成して、DDoS 攻撃を軽減できます。AWS には、事前設定されたテンプレートが用意されています。テンプレートには、一般的なウェブベースの攻撃をブロックするように設計された一連の AWS WAF ルールが含まれます。ビジネスのニーズに合わせてテンプレートをカスタマイズできます。詳細については、「AWS WAF セキュリティオートメーション」を参照してください。

    この場合、DRT を利用することはできません。ただし、AWS WAF の一般的な保護などのベストプラクティスを実装するためのガイダンスを DRT にリクエストすることはできます。

  • DRT を利用する: 攻撃に対処するための追加のサポートが必要な場合は、AWS Support Center にお問い合わせください。重大かつ緊急のケースは DDoS エキスパートに直接、取り次がれます。AWS Shield アドバンスド では、複雑なケースを DRT にエスカレートできます。DRT には、AWS、Amazon.com、およびその子会社の保護において豊富な経験があります。AWS Shield アドバンスド のお客様は、重要度の高いケースについて特別な対処手順をリクエストすることもできます。

    ケースへの応答時間は、選択した重要度と応答回数によって異なります (「AWS サポートプラン」ページを参照)。

    DRT は、DDoS 攻撃を分類して、攻撃の兆候とパターンを識別できるようにお客様を支援します。お客様の同意を得られると、DRT は攻撃を軽減するための AWS WAF ルールを作成してデプロイします。

AWS Shield アドバンスド によってお客様のいずれかのアプリケーションに対する大規模なレイヤー 7 攻撃が検出されると、DRT はお客様に事前に連絡する場合があります。DRT は DDoS インシデントの深刻度に応じて対処順序を決め、AWS WAF 軽減策を作成します。DRT はお客様に連絡し、AWS WAF ルールの適用について同意を求めます。

重要

DRT は疑わしいアクティビティを分析し、お客様が問題を軽減できるようにサポートします。この軽減策では、多くの場合、DRT がお客様のアカウントでウェブアクセスコントロールリスト (ウェブ ACL) を作成または更新する必要があります。ただし、DRT はそのためのアクセス権限をお客様から取得する必要があります。AWS Shield アドバンスド の有効化の一環として、「ステップ 4: (省略可能) 権限を DDoS Response Team に付与する」の手順に従って、必要なアクセス権限を DRT に事前に付与することをお勧めします。事前にアクセス権限を付与することで、実際に攻撃が発生した場合の遅延を防ぐことができます。

DRT のサービスを使用するには、「ビジネスサポートプラン」または「エンタープライズサポートプラン」をサブスクライブする必要があります。

保護計画を選択するための支援

多くの場合、AWS Shield Standard による保護で十分です。AWS のサービスとテクノロジーは、最も一般的な DDoS 攻撃に対する回復性を提供できるように構築されています。この組み込みの保護を、AWS WAF とその他の AWS サービスの組み合わせた高度防御戦略で補完することで通常、攻撃に対する適切な保護と軽減が可能です。さらに、技術的な専門知識があり、レイヤー 7 攻撃のモニタリングと軽減を完全に管理する必要があれば、多くの場合、AWS Shield Standard を選択することをお勧めします。独自の DDoS 保護を設計するのに役立つその他のリソースについては、「チュートリアル」を参照してください。

お客様のビジネスや業界が DDoS 攻撃の対象になりやすい場合や、AWS がレイヤー 3、レイヤー 4、レイヤー 7 DDoS 攻撃に対する保護と軽減の責任の大半を担うようにする場合は、AWS Shield アドバンスド が最適です。AWS Shield アドバンスド では、レイヤー 3 およびレイヤー 4 攻撃に対する保護と軽減が可能になるだけでなく、AWS WAF が追加料金なしで含まれ、レイヤー 7 攻撃について DRT のサポートを受けられます。AWS WAF と AWS Shield Standard を使用する場合は、レイヤー 7 攻撃に対する独自の保護および軽減プロセスを設計する必要があります。

AWS Shield アドバンスド のお客様は、AWS リソースに対する DDoS 攻撃に関する詳細情報も利用できます。AWS Shield Standard では、最も一般的なレイヤー 3 およびレイヤー 4 攻撃に対して自動保護が可能ですが、これらの攻撃の詳細への可視性は限られています。AWS Shield アドバンスド では、レイヤー 3、レイヤー 4、およびレイヤー 7 DDoS 攻撃の詳細に関する広範なデータが提供されます。

AWS Shield アドバンスド では、AWS リソースに対する DDoS 攻撃についてコスト保護も可能です。この重要な機能は、DDoS 攻撃による予期しない料金の急増を防ぐのにも役立ちます。コストの予測可能性が重要な場合は、AWS Shield アドバンスド によりコストを一定に保つことができます。

以下の表は、AWS Shield Standard と AWS Shield アドバンスド を比較したものです。

機能 AWS Shield Standard AWS Shield アドバンスド
Active Monitoring
ネットワークフローのモニタリング はい はい
自動常時検出 はい はい
自動化アプリケーション (レイヤー 7) トラフィックのモニタリング はい
DDoS Mitigations
SYN フラッドや UDP 反射攻撃などの一般的な DDoS 攻撃に対する保護 はい はい
攻撃中の AWS 境界へのネットワーク ACL の自動デプロイメントを含む、追加の DDoS 軽減機能へのアクセス はい
カスタムアプリケーションレイヤー (レイヤー 7) 攻撃の軽減 はい。ユーザーが作成した AWS WAF ACL を使用します。AWS WAF の標準料金が発生します。 はい。ユーザーまたは DRT が作成した AWS WAF ACL を使用します。AWS Shield アドバンスド サブスクリプションの一部として含まれます。
ルールのインスタント更新 はい。ユーザーが作成した AWS WAF ACL を使用します。AWS WAF の標準料金が発生します。 はい
アプリケーションの脆弱性を保護する AWS WAF はい。ユーザーが作成した AWS WAF ACL を使用します。AWS WAF の標準料金が発生します。 はい
Visibility and Reporting
レイヤー 3/4 攻撃の通知 はい
レイヤー 3/4 攻撃のフォレンジックレポート (発生元 IP、攻撃ベクトルなど) はい
レイヤー 7 攻撃の通知 はい。AWS WAF を使用します。AWS WAF の標準料金が発生します。 はい
レイヤー 7 攻撃のフォレンジックレポート (トップトーカーのレポート、サンプリングされたリクエストなど) はい。AWS WAF を使用します。AWS WAF の標準料金が発生します。 はい
レイヤー 3/4/7 攻撃の履歴レポート はい
DDoS Response Team Support (Must be subscribed to the Business Support plan or the Enterprise Support plan.
重要度が高いイベントでのインシデント管理 はい
攻撃中のカスタム軽減策 はい
攻撃後の分析 はい
Cost Protection (DDoS スケーリング料金のサービスクレジット)
Route 53 はい
CloudFront はい
Elastic Load Balancing (ELB) はい
Amazon EC2 はい

DDoS コスト保護をはじめとする AWS Shield アドバンスド のメリットは、1 年間のサブスクリプションコミットメントを達成することが条件となります。

注記

AWS Shield Standard でも AWS Shield アドバンスド でも DDoS 攻撃に対して十分な保護が可能ですが、Amazon CloudWatch と AWS CloudTrail を使用してすべての AWS サービスをモニタリングすることをお勧めします。CloudWatch と CloudTrail を使用して AWS WAF をモニタリングする方法については、「AWS WAF、AWS Firewall Manager、AWS Shield アドバンスド のモニタリング」と「AWS CloudTrail を使用した API コールのログ作成」を参照してください。