AWS Shield の仕組み - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Shield の仕組み

分散サービス妨害 (DDoS) 攻撃は、多数の侵害されたシステムが、ネットワークやウェブアプリケーションなどのターゲットでトラフィックを氾濫させようとする攻撃です。DDoS 攻撃は正当なユーザーがサービスにアクセスするのを妨げ、トラフィックボリュームが過負荷であるためにシステムがクラッシュする可能性があります。

AWS はDDoS、攻撃に対する 2 つのレベルの保護を提供します。 AWS Shield Standard と AWS Shield アドバンスドです。

AWS Shield Standard

すべての AWS のお客様はAWS Shield Standard、追加料金なしで の自動保護の利点を享受できます。 AWS Shield Standard は、ウェブサイトやアプリケーションをターゲットとする一般的なネットワークレイヤーやトランスポートDDoSレイヤー攻撃が頻繁に発生するのを防ぎます。AWS Shield Standard は AWS のすべてのお客様を保護しますが、Amazon CloudFront および Amazon Route 53 を使用すると、特別の利点があります。これらのサービスは、インフラストラクチャ (レイヤー 3 および 4) を標的とした既知のすべての攻撃に対して総合的に可用性を保護できます。

AWS Shield アドバンスド

攻撃に対するより高いレベルの保護のために、 サブスクライブすることができます。AWS Shield アドバンスド. にサブスクライブAWS Shield アドバンスドして保護する特定のリソースを追加すると、 AWS Shield アドバンスド はリソースで実行されるウェブアプリケーションのDDoS攻撃に対する保護を拡張します。

注記

AWS Shield アドバンスド は、 Shield アドバンスド または AWS Firewall Manager Shield アドバンスド ポリシーで指定したリソースのみを保護します。リソースは自動的に保護されません。

以下のいずれのタイプのリソースにも保護を追加できます。

  • Amazon CloudFront ディストリビューション

  • Amazon Route 53 ホストゾーン

  • AWS Global Accelerator アクセラレーター

  • Application Load Balancer

  • Elastic Load Balancing (ELB) ロードバランサー

  • Amazon Elastic Compute Cloud (Amazon EC2) Elastic IP アドレス

たとえば、 Shield アドバンスド を使用して Elastic IP アドレスを保護する場合、 は攻撃中に自動的にネットワークの境界Shield アドバンスドにACLsネットワークをAWSデプロイします。ネットワークACLsがネットワークの境界にある場合、 Shield アドバンスド はより大きなDDoSイベントに対する保護を提供できます。通常、ネットワークACLsは 内のAmazon EC2インスタンスの近くに適用されますAmazon VPC。ネットワーク ACL は、Amazon VPC とインスタンスが処理できるだけの大きさの攻撃を緩和できます。Amazon EC2 インスタンスにアタッチされたネットワークインターフェイスが最大 10 Gbps を処理できる場合、10 Gbps を超えるボリュームは遅くなり、そのインスタンスへのトラフィックがブロックされる可能性があります。攻撃中に、Shield アドバンスド はネットワーク ACL を AWS 境界に昇格させ、数テラバイトのトラフィックを処理できます。ネットワーク ACL は、典型的なネットワークの容量を超えてリソースを十分に保護することができます。ネットワーク の詳細についてはACLs、「ネットワーク ACLsを参照してください。

Shield アドバンスド が攻撃を検出して緩和策を行うポイントは、ウェブアプリケーションで使用するアーキテクチャによって異なります。これは、使用するインスタンスのタイプ、インスタンスのサイズ、インスタンスタイプが拡張ネットワーキングをサポートするかどうかなどの特性によって異なります。

AWS Shield アドバンスド のお客様はAWS、攻撃中に DDoS Response Team (DRT) DDoS 24 時間 365 24x7サポートを受けることができます。また、高度なリアルタイムのメトリクスとレポートへの排他的アクセスを利用し、AWS リソースに対する攻撃をさまざまな視点から特定できます。のサポートによりDRT、 AWS Shield アドバンスド には、ネットワークレイヤー (レイヤー 3) およびトランスポートレイヤー (レイヤー 4) DDoS 攻撃だけでなく、アプリケーションレイヤー (レイヤー 7) 攻撃に対しても、インテリジェントな攻撃検出と軽減が含まれます。

のサービスを使用するにはDRT、ビジネスサポートプランまたはエンタープライズサポートプランをサブスクライブしている必要があります。

AWS Shield アドバンスド また、 は、保護されたリソースに対するAWS攻撃によって発生する可能性のある DDoS 請求の急増に対するコスト保護も提供します。

AWS WAF は AWS Shield アドバンスド に追加料金なしで付属しています。AWS Shield アドバンスド の料金の詳細については、「AWS Shield アドバンスド 料金表.」を参照してください。

リソースに AWS Shield アドバンスド 保護を追加する場合、保護に 1 つ以上の追加を任意で含めることができます。保護の追加は、リソースタイプによって異なり、以下を含めることができます。

  • カスタム AWS WAF ウェブ ACL またはレートベースのルール。詳細については、「ステップ 3: レイヤー 7 DDoS の緩和を設定する.」を参照してください。

  • 正常性ベースの検出用の Amazon Route 53 ヘルスチェック。詳細については、次のセクションを参照してください。

Shield アドバンスド 正常性ベースの検出

Shield アドバンスド 正常性ベースの検出では、AWS リソースの正常性を使用して、攻撃の検出と軽減策の応答性と精度を向上できます。正常性ベースの検出を使用するには、 でリソースのヘルスチェックを定義し、それをRoute 53保護にShield アドバンスド関連付けます。Route 53 ヘルスチェックの詳細については、「 Amazon Route 53 がリソースの正常性をチェックする方法」および「ヘルスチェックの作成と更新.」を参照してください。

注記

Route 53 ホストゾーンでヘルスチェックを使用しないでください。

次のリソースタイプに対して正常性ベースの検出を有効にできます。

  • Elastic IP アドレスとグローバルアクセラレーターアクセラレーター – ヘルスベースの検出により、ネットワークレイヤーとトランスポートレイヤーのイベント検出と軽減機能の精度が向上します。

    グローバルアクセラレーター を使用して Elastic IP アドレスまたは Shield アドバンスド アクセラレーターを保護する場合、緩和策を行うために必要なしきい値を減らします。Shield アドバンスド を使用すると、トラフィックがアプリケーションのキャパシティー内に収まっている場合でも、攻撃の緩和と小規模な攻撃の緩和を迅速に行えます。

    正常性ベースの検出を追加する場合、関連付けられた Route 53 ヘルスチェックが異常な期間中に、Shield アドバンスド を使用してより迅速に、低いしきい値で緩和策を行えます。

  • CloudFront ディストリビューションと Application Load Balancer – ヘルスベースの検出により、ウェブリクエストのフラッド検出の精度が向上します。

    CloudFront を使用して Application Load Balancer ディストリビューションまたは Shield アドバンスド を保護する場合、トラフィックボリュームの統計的に有意な偏差と、トラフィックの自己相似性の大幅な変化が伴う場合に、ウェブリクエストのフラッド検出アラートを受信します。自己相似性は、ユーザーエージェント、リファラー、および URI などの属性に基づいて決定されます。

    正常性ベースの検出を追加すると、アラートの受信がタイムリーになり、迅速に対応できる可能性が高まります。正常性ベースの検出では、関連付けられた Route 53 ヘルスチェックが異常な期間中に、Shield アドバンスド は、アラートするためにより小さな偏差を必要とし、より迅速にイベントを報告します。関連付けられた Route 53 ヘルスチェックが正常である場合、 Shield アドバンスド では、アラートするためにより大きな偏差が必要です。

Shield アドバンスド プロアクティブな関与

プロアクティブな関与では、 によって検出されたイベント中に、保護されたリソースに関連付けられているDDoS Response Team (DRT)ヘルスチェックが異常になった場合、 はお客様と直接Amazon Route 53やり取りShield アドバンスドします。これにより、アプリケーションの可用性に影響を及ぼす可能性のある攻撃が疑われる場合に、エキスパートとより迅速に連携することができます。

注記

保護されたリソースにプロアクティブな関与を使用するには、 Amazon Route 53 ヘルスチェックをリソースに関連付ける必要があります。

プロアクティブな関与は、Elastic IP アドレスと AWS Global Accelerator アクセラレーターでのネットワークレイヤーイベントおよびトランスポートレイヤーイベント、および Amazon CloudFront ディストリビューションおよび Application Load Balancer. のウェブリクエストフラッドに対して利用できます。

プロアクティブな関与を使用するには、 でShield アドバンスドモニタリングするリソースのDRT正常性ベースの検出を設定します。次に、1~10 の連絡先を指定して、プロアクティブな関与を行います。DRT はこの情報を使用して、異常な保護対象のリソースに関連するイベントを検出したときにユーザーに連絡します。連絡先情報を入力したら、プロアクティブな関与を有効にできます。

初めてプロアクティブな関与を有効にすると、DRTエンジニアから連絡があり、アプリケーションアーキテクチャを確認し、機能のアクティベーションを完了します。- このプロセスには数日かかることがあります。

注記

プロアクティブな関与を使用するには、ビジネスサポートプランまたはエンタープライズサポートプラン.をサブスクライブしている必要があります。

Shield アドバンスド 保護グループ

AWS Shield アドバンスド 保護グループを使用すると、複数の保護されたリソースを単一のユニットとして扱うことで、検出と緩和の範囲をカスタマイズするセルフサービスの方法が提供されます。リソースグループ化には、多くの利点があります。

  • 検出の精度を向上させます。

  • アクション不可能なイベント通知を減らす。

  • イベント中に影響を受ける可能性がある保護されたリソースを含めるために、緩和アクションのカバレッジを増やします。

  • 複数の同様のターゲットを持つ攻撃の軽減までの時間を短縮します。

  • 新しく作成された保護されたリソースの自動保護を容易にします。

保護グループは、リソースがほぼゼロの負荷と完全に負荷を切り替えた Blue/Green スワップなどの状況で誤検出を減らすのに役立ちます。もう 1 つの例は、グループのメンバー間で共有されているロードレベルを維持しながら、リソースを頻繁に作成および削除する場合です。このような状況では、個々のリソースをモニタリングすることで誤検出につながることがありますが、リソースのグループの正常性をモニタリングすることはできません。

保護されたリソースに対してさまざまな基準で保護グループを定義できます。グループ化基準に一致する新しく保護されたリソースは、自動的に保護グループに含まれます。リソースタイプ別にグループ化するには、そのタイプの保護グループを定義し、アカウントまたはサブスクリプションに含まれるそのタイプのすべての保護されたリソースShield アドバンスドを自動的に含めます。タグでグループ化するには、タグキーと値の保護グループを定義し、そのタグをグループに含める保護されたリソースに適用します。保護されたリソースは、複数の保護グループに属することができます。

オプションと保護グループを管理する方法については、「」AWS Shield アドバンスド 保護グループの管理を参照してください。

DDoS 攻撃のタイプ

AWS Shield アドバンスド では、さまざまなタイプの攻撃に対して広範な保護が可能です。以下に例を示します。

User Datagram Protocol (UDP) 反射型攻撃

攻撃者はリクエストの発生元を偽装し、UDP を使用してサーバーから大量のレスポンスを引き出すことができます。攻撃対象の偽装 IP アドレスに向かう追加のネットワークトラフィックにより、対象のサーバーは遅くなり、正当なユーザーが必要なリソースにアクセスできなくなります。

SYN フラッド

SYN フラッド攻撃の目的は、接続を半開状態にして、システムの利用可能なリソースを枯渇させることです。ユーザーがウェブサーバーのような TCP サービスに接続すると、クライアントは SYN パケットを送信します。サーバーが肯定応答を返し、クライアントがそれ自体の肯定応答を返すことで、3 ウェイハンドシェイクが完了します。SYN フラッドでは、3 回目の肯定応答が返されることはなく、サーバーはレスポンスを待ったままになります。このため、他のユーザーはサーバーに接続できなくなります。

DNS クエリフラッド

DNS クエリフラッドでは、攻撃者は多数の DNS クエリを使用して DNS サーバーのリソースを枯渇させます。AWS Shield アドバンスド は、Route 53 DNS サーバーの DNS クエリのフラッド攻撃に対する保護に役立ちます。

HTTP フラッド/キャッシュ無効化 (レイヤー 7) 攻撃

GET および POST フラッドを含む HTTP フラッドにより、攻撃者はウェブアプリケーションの実際のユーザーからのように見せかけて多数の HTTP リクエストを送信します。キャッシュ無効化攻撃は、HTTP フラッドの一種です。HTTP リクエストのクエリ文字列のバリエーションを使用して、エッジでキャッシュされているコンテンツが使用されないようにし、オリジンウェブサーバーからコンテンツが送信されるようにすることで、オリジンウェブサーバーに損害につながる可能性があるほどの負荷をかけます。

AWS DDoS Response Team (DRT))

ではAWS Shield アドバンスド、複雑なDDoSイベントを AWS にエスカレートできますDDoS Response Team (DRT)。この にはAWS、、Amazon.com、およびその子会社の保護において豊富な経験があります。

レイヤー 3 およびレイヤー 4 攻撃の場合、AWS は自動攻撃検出を行い、お客様に代わって軽減策を事前に適用します。レイヤー 7 DDoS 攻撃の場合、 は AWS アラームを使用してAWS Shield アドバンスドお客様を検出して通知CloudWatchしようとしますが、軽減策を事前に適用しません。これは、有効なユーザートラフィックを誤って削除しないようにするためです。

また、攻撃の可能性についてDRT、その前または最中に に問い合わせて、カスタム軽減策を開発およびデプロイすることもできます。たとえば、ウェブアプリケーションを実行していて、ポート 80 と 443 だけを開く必要がある場合、 を使用して ACL を「許可」ポート 80 と 443 にのみDRT事前設定できます。

AWS Shield アドバンスド のお客様には、レイヤー 7 攻撃を軽減する 2 つのオプションがあります。

  • お客様独自の軽減策を提供する: AWS WAF は AWS Shield アドバンスド に追加料金なしで付属しています。AWS WAF 攻撃を軽減するための独自のDDoSルールを作成できます。 AWS には、事前設定されたテンプレートが用意されています。テンプレートには、一般的なウェブベースの攻撃をブロックするように設計された一連の AWS WAF ルールが含まれます。ビジネスのニーズに合わせてテンプレートをカスタマイズできます。詳細については、「 」を参照してください。AWS WAF セキュリティオートメーション.

    この場合、 DRT は関係ありません。ただしDRT、一般的な保護などのベストプラクティスの実装に関するガイダンスAWS WAFについては、 にお問い合わせください。

  • を利用するDRT: 攻撃に対処するための追加のサポートが必要な場合は、 にお問い合わせくださいAWS サポート Center。重大かつ緊急のケースはDDoS、エキスパートに直接ルーティングされます。ではAWS Shield アドバンスド、複雑なケースを にエスカレートできますDRT。この にはAWS、、Amazon.com、およびその子会社の保護において豊富な経験があります。AWS Shield アドバンスド のお客様は、重要度の高いケースについて特別な対処手順をリクエストすることもできます。

    ケースの応答時間は、選択した重要度と応答時間によって異なります。詳細については、「AWSサポートプラン」ページを参照してください。

    は、DRT攻撃を分類して、攻撃の署名とパターンを特定するDDoSのに役立ちます。お客様の合意を得て、 は攻撃を軽減するための DRT ルールAWS WAFを作成してデプロイします。

がアプリケーションの 1 つに対して大きなレイヤー 7 攻撃AWS Shield アドバンスドを検出すると、 はお客様に事前に連絡するDRT場合があります。はDRTイベントをDDoS分類し、AWS WAF緩和策を作成します。DRT その後、 はお客様に連絡しAWS WAF、ルールの適用について同意を求めます。

重要

DRT は、疑わしいアクティビティを分析し、問題の軽減に役立ちます。この緩和策では、多くの場合、 DRT がアカウントでウェブアクセスコントロールリスト (ウェブACLs) を作成または更新する必要があります。ただし、DRT はそのためのアクセス権限をお客様から取得する必要があります。の有効化の一環として、「」のステップに従ってAWS Shield アドバンスド、ステップ 5: AWS DRT サポートを設定する必要なアクセス許可DRTを に事前に付与することをお勧めします。事前にアクセス権限を付与することで、実際に攻撃が発生した場合の遅延を防ぐことができます。

のサービスを使用するにはDRT、ビジネスサポートプランまたはエンタープライズサポートプランをサブスクライブしている必要があります。

保護計画を選択するためのヒント

多くの場合、ニーズにはAWS Shield Standard保護で十分です。 AWS のサービスとテクノロジーは、最も一般的なDDoS攻撃に対して耐障害性を提供するように設計されています。この組み込みの保護を AWS WAF や他の AWS のサービスの組み合わせにより補完して高度防御戦略とすることで、通常、攻撃に対する適切な保護と軽減が達成されます。さらに、技術的な専門知識があり、レイヤー 7 攻撃のモニタリングと軽減を完全に管理する必要があれば、多くの場合、AWS Shield Standard を選択することをお勧めします。

ビジネスや業界がDDoS攻撃のターゲットになる可能性がある場合、またはレイヤー 3、レイヤー 4、レイヤー 7 の攻撃AWSに対する保護と軽減の責任の大半を でDDoS処理する場合は、 が最適AWS Shield アドバンスドです。 はレイヤー 3 とレイヤー 4 の保護と軽減を提供するAWS Shield アドバンスドだけでなく、レイヤー 7 攻撃に対する追加料金やAWS WAF支援DRTも必要としません。AWS WAF と AWS Shield Standard を使用する場合は、レイヤー 7 攻撃に対する独自の保護および軽減プロセスを設計する必要があります。

AWS Shield アドバンスド のお客様は、 DDoS リソースに対するAWS攻撃に関する詳細情報も利用できます。AWS Shield Standard では、最も一般的なレイヤー 3 およびレイヤー 4 攻撃に対して自動的に保護できますが、これらの攻撃の詳細に対する可視性は限られています。 AWS Shield アドバンスド では、レイヤー 3、レイヤー 4、レイヤー 7 DDoS の両方の攻撃の詳細に関する広範なデータが提供されます。

AWS Shield アドバンスド また、 はDDoS、 リソースに対するAWS攻撃に対してコスト保護を提供します。この重要な機能は、DDoS攻撃による予期しない請求の急増を防ぐのに役立ちます。コストの予測可能性が重要な場合は、AWS Shield アドバンスド によりコストを一定に保つことができます。

以下の表は、AWS Shield Standard と AWS Shield アドバンスド. を比較したものです。

機能 AWS Shield Standard AWS Shield アドバンスド
Active Monitoring
ネットワークフローのモニタリング はい はい
自動常時検出 はい はい
自動化アプリケーション (レイヤー 7) トラフィックのモニタリング はい
DDoS Mitigations
SYN フラッドや UDP リフレクションDDoS攻撃などの一般的な攻撃に対する保護に役立ちます。 はい はい
攻撃中のDDoS境界ACLsへのネットワークの自動デプロイなど、追加のAWS軽減機能へのアクセス はい
カスタムアプリケーションレイヤー (レイヤー 7) 攻撃の軽減 はい。ユーザーが作成した を使用しますAWS WAFACLs。 の標準AWS WAF料金が発生します。 はい。ユーザー作成の または DRT作成の を使用しますAWS WAFACLs。 AWS Shield アドバンスド サブスクリプションの一部として含まれます。
ルールのインスタント更新 はい。ユーザーが作成した を使用しますAWS WAFACLs。 の標準AWS WAF料金が発生します。 はい
AWS WAFアプリケーションの脆弱性を保護する はい。ユーザーが作成した を使用しますAWS WAFACLs。 の標準AWS WAF料金が発生します。 はい
Visibility and Reporting
レイヤー 3/4 攻撃の通知 はい
レイヤー 3/4 攻撃のフォレンジックレポート (発生元 IP、攻撃ベクトルなど) はい
レイヤー 7 攻撃の通知 はい。 を使用します。AWS WAF. AWS WAF の標準料金が発生します。 はい
レイヤー 7 攻撃のフォレンジックレポート (トップトーカーのレポート、サンプリングされたリクエストなど) はい。AWS WAFACLsウェブで作成します。AWS WAF の標準料金が発生します。 はいAWS WAF。ユーザーが作成したACLsウェブを使用するか、DRT がユーザーに代わって作成するウェブを使用します。 AWS WAF はShield アドバンスドサブスクリプションに含まれています。
レイヤー 3/4/7 攻撃の履歴レポート はい
DDoS Response Team (DRT) Support (ビジネスサポートプランまたはエンタープライズサポートプランに加入している必要があります。)
重要度の高いイベント中のイベント管理 はい
攻撃中のカスタム軽減策 はい
攻撃後の分析 はい
Cost Protection (DDoSスケーリング料金のサービスクレジット)
Elastic Load Balancing (ELB) ロードバランサー はい
Amazon EC2 Elastic IP アドレス はい
Amazon CloudFront ディストリビューション はい
Amazon Route 53 ホストゾーン はい
AWS Global Accelerator アクセラレーター はい

AWS Shield アドバンスド DDoS コスト保護などの の利点は1-yearサブスクリプションコミットメントを達成することが条件となります。

注記

AWS Shield Standard と はどちらもAWS Shield アドバンスド攻撃に対してかなりの保護DDoSを提供しますが、 Amazon CloudWatch と AWS CloudTrail を使用してすべての AWS サービスをモニタリングすることをお勧めします。AWS WAF と CloudWatch を使用して CloudTrail をモニタリングする方法については、「AWS WAFAWS Firewall ManagerAWS Shield アドバンスド のモニタリング」と「 による API コールのログ記録AWS CloudTrail.」を参照してください。