AWS Shield の仕組み - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

AWS Shield の仕組み

分散サービス妨害 (DDoS) 攻撃は、多数の侵害されたシステムが、ネットワークやウェブアプリケーションなどのターゲットでトラフィックを氾濫させようとする攻撃です。DDoS 攻撃は正当なユーザーがサービスにアクセスするのを妨げ、圧倒的なトラフィック量のためにシステムがクラッシュする可能性があります。

AWS には、DDoS 攻撃に対する 2 つのレベルの保護として、AWS Shield Standard と AWS Shield アドバンスド が用意されています。

AWS Shield Standard

すべての AWS のお客様は、追加料金なしで AWS Shield Standard の自動保護の利点を享受できます。AWS Shield Standard では、ウェブサイトやアプリケーションを標的とする、一般的かつ頻繁に発生するネットワーク層およびトランスポート層への DDoS 攻撃を防御します。AWS Shield Standard は AWS のすべてのお客様を保護しますが、Amazon CloudFront および Amazon Route 53 を使用すると、特別の利点があります。これらのサービスは、インフラストラクチャ (レイヤー 3 および 4) を標的とした既知のすべての攻撃に対して総合的に可用性を保護できます。

AWS Shield アドバンスド

攻撃に対するより高いレベルの保護のために、AWS Shield アドバンスド サブスクライブすることができます。AWS Shield アドバンスド にサブスクライブして保護する特定のリソースを加すると、AWS Shield アドバンスド は、リソース上で実行されているウェブアプリケーションの DDoS 攻撃保護を拡張します。

注記

AWS Shield アドバンスド は、Shield アドバンスド または AWS Firewall Manager Shield アドバンスド ポリシーで指定されているリソースのみを保護します。リソースは自動的に保護されません。

次のリソースのいずれかに保護を追加できます。

  • Elastic Load Balancing (ELB) ロードバランサー

  • Amazon Elastic Compute Cloud (Amazon EC2) Elastic IP アドレス

  • Amazon CloudFront ディストリビューション

  • Amazon Route 53 ホストゾーン

  • AWS Global Accelerator アクセラレーター

たとえば、Shield アドバンスド を使用して Elastic IP アドレスを保護する場合、Shield アドバンスド は攻撃中にネットワーク ACL を自動的に AWS ネットワークの境界にデプロイします。ネットワーク ACL がネットワークの境界にある場合、Shield アドバンスド はより大きな DDoS イベントに対する保護を提供できます。通常、ネットワーク ACL は Amazon VPC 内の Amazon EC2 インスタンスの近くで適用されます。ネットワーク ACL は、Amazon VPC とインスタンスが処理できるだけの大きさの攻撃を緩和できます。Amazon EC2 インスタンスにアタッチされたネットワークインターフェイスが最大 10 Gbps を処理できる場合、10 Gbps を超えるボリュームは遅くなり、そのインスタンスへのトラフィックがブロックされる可能性があります。攻撃中に、Shield アドバンスド はネットワーク ACL を AWS 境界に昇格させ、数テラバイトのトラフィックを処理できます。ネットワーク ACL は、典型的なネットワークの容量を超えてリソースを十分に保護することができます。ネットワーク ACL の詳細については、「ネットワーク ACL」を参照してください。

Shield アドバンスド が攻撃を検出して緩和策を行うポイントは、ウェブアプリケーションで使用するアーキテクチャによって異なります。使用するインスタンスのタイプ、インスタンスのサイズ、拡張ネットワーキングを使用するかどうかなどの特性によって異なります。

AWS Shield アドバンスド のお客様は、DDoS 攻撃を受けている中、24 時間 365 日体制の DDoS response team (DRT) にサポートを依頼できます。また、高度なリアルタイムのメトリクスとレポートへの排他的アクセスを利用し、AWS リソースに対する攻撃をさまざまな視点から特定できます。DRT のサポートにより、AWS Shield アドバンスド には、ネットワークレイヤー (レイヤー 3) およびトランスポートレイヤー (レイヤー 4) 攻撃だけでなく、アプリケーションレイヤー (レイヤー 7) 攻撃に対しても、DDoS 攻撃のインテリジェント検出および軽減が含まれます。

DRT のサービスを使用するには、「ビジネスサポートプラン」または「エンタープライズサポートプラン」をサブスクライブする必要があります。

AWS Shield アドバンスド は、保護されたリソースに対する DDoS 攻撃によって生じる可能性のある AWS 料金の急増に対するコスト保護も提供します。

AWS WAF は AWS Shield アドバンスド に追加料金なしで付属しています。AWS Shield アドバンスド の料金の詳細については、「AWS Shield アドバンスド 料金表」を参照してください。

リソースに AWS Shield アドバンスド 保護を追加する場合、保護に 1 つ以上の追加を任意で含めることができます。保護の追加は、リソースタイプによって異なり、以下を含めることができます。

Shield アドバンスド 正常性ベースの検出

Shield アドバンスド 正常性ベースの検出では、AWS リソースの正常性を使用して、攻撃の検出と軽減策の応答性と精度を向上できます。正常性ベースの検出を使用するには、Route 53 でヘルスチェックを定義し、それを Shield アドバンスド 保護と関連付けます。Route 53 ヘルスチェックの詳細については、「 Amazon Route 53 がリソースの正常性をチェックする方法」および「ヘルスチェックの作成と更新」を参照してください。

Shield アドバンスド サポートされているリソースタイプに対して、正常性ベースの検出を有効にできます。正常性ベースの検出の利点は、リソースタイプによって異なります。以下のセクションでは、これらの利点の一部について説明します。

Elastic IP アドレスと グローバルアクセラレーター アクセラレーターの利点

正常性ベースの検出により、ネットワーク層およびトランスポート層イベントの検出および緩和機能の精度が向上します。

Shield アドバンスド を使用して Elastic IP アドレスまたは グローバルアクセラレーター アクセラレーターを保護する場合、緩和策を行うために必要なしきい値を減らします。Shield アドバンスド を使用すると、トラフィックがアプリケーションのキャパシティー内に収まっている場合でも、攻撃の緩和と小規模な攻撃の緩和を迅速に行えます。

正常性ベースの検出を追加する場合、関連付けられた Route 53 ヘルスチェックが異常な期間中に、Shield アドバンスド を使用してより迅速に、低いしきい値で緩和策を行えます。

CloudFront ディストリビューションと Application Load Balancer の利点

正常性ベースの検出により、ウェブリクエストのフラッド検出の精度が向上します。

Shield アドバンスド を使用して CloudFront ディストリビューションまたは Application Load Balancer を保護する場合、トラフィックボリュームの統計的に有意な偏差と、トラフィックの自己相似性の大幅な変化が伴う場合に、ウェブリクエストのフラッド検出アラートを受信します。自己相似性は、ユーザーエージェント、リファラー、および URI などの属性に基づいて決定されます。

正常性ベースの検出を追加すると、アラートの受信がタイムリーになり、迅速に対応できる可能性が高まります。正常性ベースの検出では、関連付けられた Route 53 ヘルスチェックが異常な期間中に、Shield アドバンスド は、アラートするためにより小さな偏差を必要とし、より迅速にイベントを報告します。関連付けられた Route 53 ヘルスチェックが正常である場合、 Shield アドバンスド では、アラートするためにより大きな偏差が必要です。

Shield アドバンスド プロアクティブな関与

プロアクティブな関与では、Shield アドバンスド によって検出されたイベント中に、保護されたリソースに関連付けられた Amazon Route 53 ヘルスチェックが異常になった場合、DDoS レスポンスチーム (DRT) はお客様と直接連携します。これにより、アプリケーションの可用性に影響を及ぼす可能性のある攻撃が疑われる場合に、エキスパートとより迅速に連携することができます。

プロアクティブな関与は、Elastic IP アドレスと AWS Global Accelerator アクセラレーターでのネットワークレイヤーイベントおよびトランスポートレイヤーイベント、および Amazon CloudFront ディストリビューションおよび Application Load Balancer のウェブリクエストフラッドに対して利用できます。

プロアクティブな関与を使用するには、DRT で監視するリソースの Shield アドバンスド 正常性ベースの検出を設定します。次に、1~10 の連絡先を指定して、プロアクティブな関与を行います。DRT は、障害のある保護されたリソースに関連するイベントが検出されたとき、この情報を使用してお客様に連絡します。連絡先情報を入力したら、プロアクティブな関与を有効にできます。

注記

プロアクティブな関与を使用するには、ビジネスサポートプランまたはエンタープライズサポートプランをサブスクライブしている必要があります。

DDoS 攻撃のタイプ

AWS Shield アドバンスド では、さまざまなタイプの攻撃に対して広範な保護が可能です。以下に例を示します。

User Datagram Protocol (UDP) 反射型攻撃

攻撃者はリクエストの発生元を偽装し、UDP を使用してサーバーから大量のレスポンスを引き出すことができます。攻撃対象の偽装 IP アドレスに向かう追加のネットワークトラフィックにより、対象のサーバーは遅くなり、正当なユーザーが必要なリソースにアクセスできなくなります。

SYN フラッド

SYN フラッド攻撃の目的は、接続を半開状態にして、システムの利用可能なリソースを枯渇させることです。ユーザーがウェブサーバーのような TCP サービスに接続すると、クライアントは SYN パケットを送信します。サーバーが肯定応答を返し、クライアントがそれ自体の肯定応答を返すことで、3 ウェイハンドシェイクが完了します。SYN フラッドでは、3 回目の肯定応答が返されることはなく、サーバーはレスポンスを待ったままになります。このため、他のユーザーはサーバーに接続できなくなります。

DNS クエリフラッド

DNS クエリフラッドでは、攻撃者は多数の DNS クエリを使用して DNS サーバーのリソースを枯渇させます。AWS Shield アドバンスド は、Route 53 DNS サーバーの DNS クエリのフラッド攻撃に対する保護に役立ちます。

HTTP フラッド/キャッシュ無効化 (レイヤー 7) 攻撃

GET および POST フラッドを含む HTTP フラッドにより、攻撃者はウェブアプリケーションの実際のユーザーからのように見せかけて多数の HTTP リクエストを送信します。キャッシュ無効化攻撃は、HTTP フラッドの一種です。HTTP リクエストのクエリ文字列のバリエーションを使用して、エッジでキャッシュされているコンテンツが使用されないようにし、オリジンウェブサーバーからコンテンツが送信されるようにすることで、オリジンウェブサーバーに損害につながる可能性があるほどの負荷をかけます。

AWS DDoS Response Team (DRT) について

AWS Shield アドバンスド では、複雑な DDoS イベントを AWS DDoS Response team (DRT) にエスカレートできます。DRT には、AWS、Amazon.com、およびその子会社の保護において豊富な経験があります。

レイヤー 3 およびレイヤー 4 攻撃の場合、AWS は自動攻撃検出を行い、お客様に代わって軽減策を事前に適用します。レイヤー 7 DDoS 攻撃の場合、AWS は攻撃検出を行い、CloudWatch アラームにより AWS Shield アドバンスド のお客様に通知しますが、軽減策を事前に適用しません。これは、有効なユーザートラフィックを誤って削除しないようにするためです。

また、可能性のある攻撃の前または最中に DRT に問い合わせて、カスタム軽減策を開発しデプロイすることもできます。たとえば、ウェブアプリケーションを実行していて、ポート 80 と 443 だけを開く必要がある場合は、DRT を使用してポート 80 と 443 を「許可」するように ACL を事前に設定できます。

AWS Shield アドバンスド のお客様には、レイヤー 7 攻撃を軽減する 2 つのオプションがあります。

  • お客様独自の軽減策を提供する: AWS WAF は AWS Shield アドバンスド に追加料金なしで付属しています。独自の AWS WAF ルールを作成して、DDoS 攻撃を軽減できます。AWS には、事前設定されたテンプレートが用意されています。テンプレートには、一般的なウェブベースの攻撃をブロックするように設計された一連の AWS WAF ルールが含まれます。ビジネスのニーズに合わせてテンプレートをカスタマイズできます。詳細については、「AWS WAF セキュリティオートメーション」を参照してください。

    この場合、DRT を利用することはできません。ただし、AWS WAF の一般的な保護などのベストプラクティスを実装するためのガイダンスを DRT にリクエストすることはできます。

  • DRT を利用する: 攻撃に対処するための追加のサポートが必要な場合は、AWS Support Center にお問い合わせください。重大かつ緊急のケースは DDoS エキスパートに直接、取り次がれます。AWS Shield アドバンスド では、複雑なケースを DRT にエスカレートできます。DRT は豊富な経験を駆使して AWS、Amazon.com、およびその子会社を保護できます。AWS Shield アドバンスド のお客様は、重要度の高いケースについて特別な対処手順をリクエストすることもできます。

    ケースへの応答時間は、選択した重要度と応答回数によって異なります (「AWS サポートプラン」ページを参照)。

    DRT は、DDoS 攻撃を分類して、攻撃の兆候とパターンを識別できるようにお客様を支援します。お客様の同意を得られると、DRT は攻撃を軽減するための AWS WAF ルールを作成してデプロイします。

AWS Shield アドバンスド によってお客様のいずれかのアプリケーションに対する大規模なレイヤー 7 攻撃が検出されると、DRT はお客様に事前に連絡する場合があります。DRT は DDoS インシデントの深刻度に応じて対処順序を決め、AWS WAF 軽減策を作成します。DRT はお客様に連絡し、AWS WAF ルールの適用について同意を求めます。

重要

DRT は疑わしいアクティビティを分析し、お客様が問題を軽減できるようにサポートします。この軽減策では、多くの場合、DRT がお客様のアカウントでウェブアクセスコントロールリスト (ウェブ ACL) を作成または更新する必要があります。ただし、DRT はそのためのアクセス権限をお客様から取得する必要があります。AWS Shield アドバンスド の有効化の一環として、「ステップ 4: (オプション) レスポンスチームのエンゲージメントを準備する」の手順に従って、必要なアクセス権限を DRT に事前に付与することをお勧めします。事前にアクセス権限を付与することで、実際に攻撃が発生した場合の遅延を防ぐことができます。

DRT のサービスを使用するには、「ビジネスサポートプラン」または「エンタープライズサポートプラン」をサブスクライブする必要があります。

保護計画を選択するためのヒント

通常のニーズには、AWS Shield Standard 保護で十分です。AWS のサービスとテクノロジーは、最も一般的な DDoS 攻撃に対して耐障害性を発揮するように構築されています。この組み込みの保護を AWS WAF や他の AWS のサービスの組み合わせにより補完して高度防御戦略とすることで、通常、攻撃に対する適切な保護と軽減が達成されます。さらに、技術的な専門知識があり、レイヤー 7 攻撃のモニタリングと軽減を完全に管理する必要があれば、多くの場合、AWS Shield Standard を選択することをお勧めします。

お客様のビジネスや業界が DDoS 攻撃の対象になりやすい場合や、AWS でレイヤー 3、レイヤー 4、レイヤー 7 の DDoS 攻撃に対する保護と軽減の責務の大半を処理する場合は、AWS Shield アドバンスド が最適です。AWS Shield アドバンスド では、レイヤー 3 およびレイヤー 4 の保護と軽減が提供されるだけでなく、追加料金なしで AWS WAF を利用でき、レイヤー 7 の攻撃に対する DRT のサポートも受けられます。AWS WAF と AWS Shield Standard を使用する場合は、レイヤー 7 攻撃に対する独自の保護および軽減プロセスを設計する必要があります。

AWS Shield アドバンスド のお客様は、AWS リソースに対する DDoS 攻撃に関する詳細情報も利用できます。AWS Shield Standard では、最も一般的なレイヤー 3 およびレイヤー 4 攻撃に対して自動保護が可能ですが、これらの攻撃の詳細への可視性は限られています。AWS Shield アドバンスド では、レイヤー 3、レイヤー 4、およびレイヤー 7 DDoS 攻撃の詳細に関する広範なデータが提供されます。

AWS Shield アドバンスド では、AWS リソースに対する DDoS 攻撃についてコスト保護も可能です。この重要な機能は、DDoS 攻撃による予期しない料金の急増を防ぐのにも役立ちます。コストの予測可能性が重要な場合は、AWS Shield アドバンスド によりコストを一定に保つことができます。

以下の表は、AWS Shield Standard と AWS Shield アドバンスド を比較したものです。

機能 AWS Shield Standard AWS Shield アドバンスド
Active Monitoring
ネットワークフローのモニタリング はい はい
自動常時検出 はい はい
自動化アプリケーション (レイヤー 7) トラフィックのモニタリング はい
DDoS Mitigations
SYN フラッドや UDP 反射攻撃などの一般的な DDoS 攻撃に対する保護 はい はい
攻撃中の AWS 境界へのネットワーク ACL の自動デプロイメントを含む、追加の DDoS 軽減機能へのアクセス はい
カスタムアプリケーションレイヤー (レイヤー 7) 攻撃の軽減 はい。ユーザーが作成した AWS WAF ACL を使用します。AWS WAF の標準料金が発生します。 はい。ユーザーまたは DRT が作成した AWS WAF ACL を使用します。AWS Shield アドバンスド サブスクリプションの一部として含まれます。
ルールのインスタント更新 はい。ユーザーが作成した AWS WAF ACL を使用します。AWS WAF の標準料金が発生します。 はい
アプリケーションの脆弱性を保護する AWS WAF はい。ユーザーが作成した AWS WAF ACL を使用します。AWS WAF の標準料金が発生します。 はい
Visibility and Reporting
レイヤー 3/4 攻撃の通知 はい
レイヤー 3/4 攻撃のフォレンジックレポート (発生元 IP、攻撃ベクトルなど) はい
レイヤー 7 攻撃の通知 はい。AWS WAF を使用します。AWS WAF の標準料金が発生します。 はい
レイヤー 7 攻撃のフォレンジックレポート (トップトーカーのレポート、サンプリングされたリクエストなど) はい。AWS WAF を使用します。AWS WAF の標準料金が発生します。 はい
レイヤー 3/4/7 攻撃の履歴レポート はい
DDoS Response Team Support (ビジネスサポートプランまたはエンタープライズサポートプランに加入している必要があります。)
重要度が高いイベントでのインシデント管理 はい
攻撃中のカスタム軽減策 はい
攻撃後の分析 はい
Cost Protection (DDoS スケーリング料金のサービスクレジット)
Elastic Load Balancing (ELB) ロードバランサー はい
Amazon EC2 Elastic IP アドレス はい
Amazon CloudFront ディストリビューション はい
Amazon Route 53 ホストゾーン はい
AWS Global Accelerator アクセラレーター はい

DDoS コスト保護をはじめとする AWS Shield アドバンスド のメリットは、1 年間のサブスクリプションコミットメントを達成することが条件となります。

注記

AWS Shield Standard でも AWS Shield アドバンスド でも DDoS 攻撃に対して十分な保護が可能ですが、Amazon CloudWatch と AWS CloudTrail を使用してすべての AWS サービスをモニタリングすることをお勧めします。CloudWatch と CloudTrail を使用して AWS WAF をモニタリングする方法については、「AWS WAF、AWS Firewall Manager、AWS Shield アドバンスド のモニタリング」と「AWS CloudTrail による API コールのログ記録」を参照してください。