AWS Shield の仕組み - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Shield の仕組み

分散サービス妨害 (DDoS) 攻撃は、多数の侵害されたシステムが、ネットワークやウェブアプリケーションなどのターゲットでトラフィックを氾濫させようとする攻撃です。DDoS 攻撃は正当なユーザーがサービスにアクセスするのを妨げ、圧倒的なトラフィック量のためにシステムがクラッシュする可能性があります。

AWS には、DDoS 攻撃に対する 2 つのレベルの保護として、AWS Shield Standard と AWS Shield Advanced が用意されています。

AWS Shield Standard

すべてAWSのお客様は、AWS Shield Standard, 追加料金なしで.AWS Shield Standardは、お客様のウェブサイトやアプリケーションを標的として一般的かつ頻繁に発生するネットワーク層およびトランスポート層への DDoS 攻撃を防御します。WHileAWS Shield Standardすべての保護に役立ちますAWSのお客様は、Amazon CloudFront および Amazon Route 53 を使用すると、特にメリットを受けることができます。これらのサービスは、インフラストラクチャ (レイヤー 3 および 4) を標的とした既知のすべての攻撃に対して総合的に可用性を保護できます。

AWS Shield Advanced

攻撃に対するより高いレベルの保護のために、AWS Shield Advanced サブスクライブすることができます。AWS Shield Advanced にサブスクライブして保護する特定のリソースを加すると、AWS Shield Advanced は、リソース上で実行されているウェブアプリケーションの DDoS 攻撃保護を拡張します。

注記

AWS Shield Advancedは、または Shield Advanced で指定されているリソースのみを保護します。AWS Firewall ManagerShield アドバンスド リソースは自動的に保護されません。

Shield アドバンスドプロテクションは、次のリソースタイプのいずれかに追加できます。

  • Amazon CloudFront ディストリビューション

  • Amazon Route 53 ホストゾーン

  • AWS Global Accelerator アクセラレーター

  • Application Load Balancer

  • Elastic Load Balancing ad Balancer

  • Amazon Elastic Compute Cloud (Amazon EC2) Elastic IP

ネットワークロードバランサーの保護

Shield Advanced 保護をNetwork Load Balancer(NLB)に直接アタッチすることはできませんが、ネットワークロードバランサーを保護するには、まず Amazon EC2 Elastic IP アドレスを関連付けてから、Elastic IP をShield アドバンスト保護リソースとして追加します。いくつかのスケーリングツールAWS Elastic Beanstalkでは、Elastic IP をNetwork Load Balancer に自動的にアタッチすることはできません。このような場合は、まず Elastic IP をNetwork Load Balancer に関連付けて、Shield アドバンス保護を Elastic IP に手動で追加する必要があります。

たとえば、Shield アドバンストを使用して Elastic IP アドレスを保護する場合、シールドアドバンストは自動的にAWS攻撃中のネットワーク。ネットワーク ACL がネットワークの境界にある場合、Shield Advanced は大きな DDoS イベントに対する保護を提供できます。通常、ネットワーク ACL は Amazon VPC 内の Amazon EC2 インスタンスの近くで適用されます。ネットワーク ACL は、Amazon VPC とインスタンスが処理できるだけの大きさの攻撃を緩和できます。Amazon EC2 インスタンスに接続されたネットワークインターフェイスが最大 10 Gbps を処理できる場合、10 Gbps を超えるボリュームは遅くなり、そのインスタンスへのトラフィックをブロックする可能性があります。Shield アドバンスドでは、攻撃中に、ネットワーク ACL をAWS境界があり、数テラバイトのトラフィックを処理できます。ネットワーク ACL は、典型的なネットワークの容量を超えてリソースを十分に保護することができます。ネットワーク ACL の詳細については、「ネットワーク ACL」を参照してください。

Shield Advanced が攻撃を検出して緩和策を行うポイントは、ウェブアプリケーションで使用するアーキテクチャによって異なります。使用するインスタンスのタイプ、インスタンスのサイズ、インスタンスタイプが拡張ネットワーキングをサポートしているかどうかなどの特性によって異なります。

としてAWS Shield Advancedお客様には、24時間365日対応のAWSDDoS 攻撃時の支援のためのShield 応答チーム (SRT)。また、高度なリアルタイムのメトリクスとレポートへの排他的アクセスを利用し、AWS リソースに対する攻撃をさまざまな視点から特定できます。SRTの助けを借りて、AWS Shield Advancedには、ネットワークレイヤー (レイヤー 3) およびトランスポートレイヤー (レイヤー 4) 攻撃だけでなく、アプリケーションレイヤー (レイヤー 7) 攻撃に対しても、DDoS 攻撃のインテリジェント検出および軽減が含まれます。

SRT のサービスを使用するには、ビジネスSupport プランまたはEnterprise Support プラン

AWS Shield Advanced は、保護されたリソースに対する DDoS 攻撃によって生じる可能性のある AWS 料金の急増に対するコスト保護も提供します。

AWS WAF は AWS Shield Advanced に追加料金なしで付属しています。AWS Shield Advanced の料金の詳細については、「AWS Shield Advanced 料金表」を参照してください。

リソースに AWS Shield Advanced 保護を追加する場合、保護に 1 つ以上の追加を任意で含めることができます。保護の追加は、リソースタイプによって異なり、以下を含めることができます。

  • カスタムのAWS WAFWeb ACL またはレートベースのルール。前のセクションステップ 3: レイヤー 7 の DDoS 緩和機能の構成

  • 正常性ベースの検出用の Amazon Route 53 ヘルスチェック。詳細については、次のセクションを参照してください。

Shield アドバンスド

Shield アドバンスドヘルスベースの検出では、AWSリソースを使用して、攻撃の検出と軽減策の応答性と精度を向上できます。正常性ベースの検出を使用するには、Route 53 でリソースのヘルスチェックを定義し、それを Shield Advanced 保護に関連付けます。Route 53 ヘルスチェックの詳細については、「」を参照してください。Amazon Route 53 がリソースのHealth チェックする方法およびヘルスチェックの作成と更新

注記

Route 53 ホストゾーンではヘルスチェックを使用しないでください。

次のリソースタイプに対して、正常性ベースの検出を有効にできます。

  • Elastic IP アドレスとグローバルアクセラレーター正常性ベースの検出により、ネットワーク層およびトランスポート層イベントの検出および緩和機能の精度が向上します。

    Shield アドバンストを使用して Elastic IP アドレスまたはグローバルアクセラレーターを保護する場合、緩和策を行うために必要なしきい値を減らします。Shield Advanced は、トラフィックがアプリケーションのキャパシティー内に収まっている場合でも、攻撃の緩和と小規模な攻撃の緩和を迅速に行えます。

    正常性ベースの検出を追加する場合、関連付けられた Route 53 ヘルスチェックが異常な期間中に、Shield Advanced はより迅速に、低いしきい値で緩和策を行えます。

  • CloudFront ディストリビューションとアプリケーションロードバランサー— 正常性ベースの検出により、ウェブリクエストのフラッド検出の精度が向上します。

    CloudFront ディストリビューションまたは Application Load Balancer を Shield Advanced で保護する場合、トラフィックボリュームの統計的に有意な偏差と、トラフィックの自己相似性の大幅な変化が伴う場合に、ウェブリクエストのフラッド検出アラートを受信します。自己相似性は、ユーザーエージェント、リファラー、および URI などの属性に基づいて決定されます。

    正常性ベースの検出を追加すると、アラートの受信がタイムリーになり、迅速に対応できる可能性が高まります。正常性ベースの検出では、関連付けられた Route 53 ヘルスチェックが異常な期間中に、Shield Advanced はアラートするためにより小さな偏差を必要とし、より迅速にイベントを報告します。関連付けられた Route 53 ヘルスチェックが正常である場合、Shield Advanced はアラートするためにより大きな偏差を必要とします。

Shield アドバンスド

プロアクティブな関与では、Shield アドバンストによって検出されたイベント中に、保護されたリソースに関連付けられた Amazon Route 53 ヘルスチェックが異常になった場合、シールドレスポンスチーム (SRT) はお客様と直接連携します。これにより、アプリケーションの可用性に影響を及ぼす可能性のある攻撃が疑われる場合に、エキスパートとより迅速に連携することができます。

注記

保護されたリソースに対してプロアクティブエンゲージメントを使用するには、Amazon Route 53 ヘルスチェックをリソースに関連付ける必要があります。詳細については、Shield アドバンスド

プロアクティブな関与は、Elastic IP アドレスおよびトランスポートレイヤーイベントに対して利用できます。AWS Global Acceleratorアクセラレーターでは、および Amazon CloudFront ディストリビューションと Application Load Balancer でのウェブリクエストフラッドに対して使用できます。

プロアクティブな関与を使用するには、SRT で監視するリソースの Shield Advanced 正常性ベースの検出を設定します。次に、1~10 の連絡先を指定して、プロアクティブな関与を行います。SRT は、障害のある保護されたリソースに関連するイベントが検出されたとき、この情報を使用してお客様に連絡します。連絡先情報を入力したら、プロアクティブな関与を有効にできます。

注記

プロアクティブな関与を使用するには、ビジネスサポートプランまたはエンタープライズサポートプランをサブスクライブしている必要があります。

Shield アドバンスド

AWS Shield Advanced保護グループを使用すると、複数の保護されたリソースを 1 つのユニットとして扱うことによって、検出と緩和の範囲をカスタマイズするセルフサービスの方法が提供されます。リソースのグループ化は、多くの利点を提供できます。

  • 検出の精度を向上させます。

  • 実行不可能なイベント通知を減らします。

  • イベント中に影響を受ける可能性のある保護されたリソースを含めるように、緩和アクションの対象範囲を広げます。

  • 類似する複数のターゲットを使用した攻撃の軽減にかかる時間を短縮します。

  • 新しく作成された保護されたリソースの自動保護を容易にします。

保護グループは、リソースの負荷がゼロに近い状態と完全に負荷がかかる青/緑のスワップなどの状況で、誤検出を減らすことができます。もう 1 つの例は、グループのメンバー間で共有されるロードレベルを維持しながら、リソースを頻繁に作成および削除する場合です。このような状況では、個々のリソースを監視すると誤検出が発生する可能性がありますが、リソースグループの健全性を監視すると誤検出が発生することはありません。

保護グループを構成して、保護されているすべてのリソース、特定のリソースタイプのすべてのリソース、または個別に指定されたリソースを含めることができます。保護グループの基準を満たす新しく保護されたリソースは、自動的に保護グループに含まれます。保護されたリソースは、複数の保護グループに属することができます。

オプションと保護グループの管理方法の詳細については、」管理AWS Shield Advanced保護グループ

DDoS 攻撃のタイプ

AWS Shield Advanced では、さまざまなタイプの攻撃に対して広範な保護が可能です。以下に例を示します。

User Datagram Protocol (UDP) 反射型攻撃

攻撃者はリクエストの発生元を偽装し、UDP を使用してサーバーから大量のレスポンスを引き出すことができます。攻撃対象の偽装 IP アドレスに向かう追加のネットワークトラフィックにより、対象のサーバーは遅くなり、正当なユーザーが必要なリソースにアクセスできなくなります。

SYN フラッド

SYN フラッド攻撃の目的は、接続を半開状態にして、システムの利用可能なリソースを枯渇させることです。ユーザーがウェブサーバーのような TCP サービスに接続すると、クライアントは SYN パケットを送信します。サーバーが肯定応答を返し、クライアントがそれ自体の肯定応答を返すことで、3 ウェイハンドシェイクが完了します。SYN フラッドでは、3 回目の肯定応答が返されることはなく、サーバーはレスポンスを待ったままになります。このため、他のユーザーはサーバーに接続できなくなります。

DNS クエリフラッド

DNS クエリフラッドでは、攻撃者は多数の DNS クエリを使用して DNS サーバーのリソースを枯渇させます。AWS Shield Advancedは、Route 53 DNS サーバーの DNS クエリのフラッド攻撃に対する保護に役立ちます。

HTTP フラッド/キャッシュ無効化 (レイヤー 7) 攻撃

GET および POST フラッドを含む HTTP フラッドにより、攻撃者はウェブアプリケーションの実際のユーザーからのように見せかけて多数の HTTP リクエストを送信します。キャッシュ無効化攻撃は、HTTP フラッドの一種です。HTTP リクエストのクエリ文字列のバリエーションを使用して、エッジでキャッシュされているコンテンツが使用されないようにし、オリジンウェブサーバーからコンテンツが送信されるようにすることで、オリジンウェブサーバーに損害につながる可能性があるほどの負荷をかけます。

-AWSShield レスポンス・チーム (SRT)

とAWS Shield Advancedでは、複雑な DDoS イベントをAWSShield レスポンス・チーム(SRT)、保護に深い経験を持つAWS、Amazon.com、およびその子会社のウェブサイトに掲載されています。

レイヤー 3 およびレイヤー 4 攻撃の場合、AWS は自動攻撃検出を行い、お客様に代わって軽減策を事前に適用します。レイヤー 7 の DDoS 攻撃では、AWS検出と通知の試みAWS Shield Advancedのお客様に CloudWatch アラームを使用しますが、緩和策を事前に適用しません。これは、有効なユーザートラフィックを誤って削除しないようにするためです。

また、可能性のある攻撃の前または最中に SRT に問い合わせて、カスタム軽減策を開発しデプロイすることもできます。たとえば、ウェブアプリケーションを実行していて、ポート 80 と 443 だけを開く必要がある場合は、SRT と連携してポート 80 と 443 を「許可」するように ACL を事前に設定できます。

AWS Shield Advanced のお客様には、レイヤー 7 攻撃を軽減する 2 つのオプションがあります。

  • お客様独自の軽減策を提供する: AWS WAF は AWS Shield Advanced に追加料金なしで付属しています。独自の AWS WAF ルールを作成して、DDoS 攻撃を軽減できます。AWS には、事前設定されたテンプレートが用意されています。テンプレートには、一般的なウェブベースの攻撃をブロックするように設計された一連の AWS WAF ルールが含まれます。ビジネスのニーズに合わせてテンプレートをカスタマイズできます。詳細については、「AWS WAF セキュリティオートメーション」を参照してください。

    この場合、SRT は関与しません。ただし、次のようなベストプラクティスを実装するためのガイダンスを SRT にリクエストすることはできます。AWS WAF一般的な保護。

  • SRT のエンゲージメント: 攻撃に対処するための追加のサポートが必要な場合は、AWS Supportセンター。重大かつ緊急のケースは DDoS エキスパートに直接、取り次がれます。とAWS Shield Advancedでは、複雑なケースを SRT にエスカレートできます。SRT には、AWS、Amazon.com、およびその子会社のウェブサイトに掲載されています。AWS Shield Advanced のお客様は、重要度の高いケースについて特別な対処手順をリクエストすることもできます。

    ケースへの応答時間は、選択した重要度と応答回数によって異なります (「」を参照)。AWS Supportプランページで.

    SRT は、DDoS 攻撃を分類して、攻撃の兆候とパターンを識別できるようにお客様を支援します。お客様の同意を得て、SRT はAWS WAFルールを使用して攻撃を軽減します。

メトリックAWS Shield Advancedによってお客様のいずれかのアプリケーションに対する大規模なレイヤー 7 攻撃が検出されると、SRT はお客様に事前に連絡する場合があります。SRT は DDoS イベントを優先順位付けし、AWS WAF緩和策。SRT はお客様に連絡し、AWS WAFルール。

重要

SRT は疑わしいアクティビティを分析し、お客様が問題を軽減できるようにサポートします。この軽減策では、多くの場合、SRT がお客様のアカウントでウェブアクセスコントロールリスト (ウェブ ACL) を作成または更新する必要があります。ただし、DRT はそのためのアクセス権限をお客様から取得する必要があります。私たちは、有効化の一環として、AWS Shield Advanced」の手順を行います。ステップ 5: 設定AWSSRT のサポートSRT に必要な権限を事前に提供できます。事前にアクセス権限を付与することで、実際に攻撃が発生した場合の遅延を防ぐことができます。

SRT のサービスを使用するには、ビジネスSupport プランまたはEnterprise Support プラン

保護計画を選択するためのヒント

通常のニーズには、AWS Shield Standard 保護で十分です。AWS のサービスとテクノロジーは、最も一般的な DDoS 攻撃に対して耐障害性を発揮するように構築されています。この組み込みの保護を AWS WAF や他の AWS のサービスの組み合わせにより補完して高度防御戦略とすることで、通常、攻撃に対する適切な保護と軽減が達成されます。さらに、技術的な専門知識があり、レイヤー 7 攻撃のモニタリングと軽減を完全に管理する必要があれば、多くの場合、AWS Shield Standard を選択することをお勧めします。

ビジネスまたは業界が DDoS 攻撃の標的である可能性が高い場合、またはAWSでは、レイヤー 3、レイヤー 4、およびレイヤー 7 攻撃に対する DDoS 保護と緩和機能のほとんどを処理します。AWS Shield Advancedが最良の選択かもしれません。AWS Shield Advancedでは、レイヤー 3 およびレイヤー 4 攻撃に対する保護と軽減が可能になるだけでなく、AWS WAFを追加料金なしで、レイヤー 7 攻撃のための SRT 支援します。AWS WAF と AWS Shield Standard を使用する場合は、レイヤー 7 攻撃に対する独自の保護および軽減プロセスを設計する必要があります。

AWS Shield Advanced のお客様は、AWS リソースに対する DDoS 攻撃に関する詳細情報も利用できます。AWS Shield Standard では、最も一般的なレイヤー 3 およびレイヤー 4 攻撃に対して自動保護が可能ですが、これらの攻撃の詳細への可視性は限られています。AWS Shield Advanced では、レイヤー 3、レイヤー 4、およびレイヤー 7 DDoS 攻撃の詳細に関する広範なデータが提供されます。

AWS Shield Advanced では、AWS リソースに対する DDoS 攻撃についてコスト保護も可能です。この重要な機能は、DDoS 攻撃による予期しない料金の急増を防ぐのにも役立ちます。コストの予測可能性が重要な場合は、AWS Shield Advanced によりコストを一定に保つことができます。

以下の表は、AWS Shield Standard と AWS Shield Advanced を比較したものです。

機能 AWS Shield Standard AWS Shield Advanced
Active Monitoring
ネットワークフローのモニタリング はい はい
自動常時検出 はい はい
自動化アプリケーション (レイヤー 7) トラフィックのモニタリング はい
DDoS Mitigations
SYN フラッドや UDP 反射攻撃などの一般的な DDoS 攻撃に対する保護 はい はい
攻撃中の AWS 境界へのネットワーク ACL の自動デプロイメントを含む、追加の DDoS 軽減機能へのアクセス はい
カスタムアプリケーションレイヤー (レイヤー 7) 攻撃の軽減 はい。ユーザーが作成した AWS WAF ACL を使用します。AWS WAF の標準料金が発生します。 はい。ユーザーが作成した、または SRT が作成したAWS WAFACL は、。AWS Shield Advanced サブスクリプションの一部として含まれます。
ルールのインスタント更新 はい。ユーザーが作成した AWS WAF ACL を使用します。AWS WAF の標準料金が発生します。 はい
アプリケーションの脆弱性を保護する AWS WAF はい。ユーザーが作成した AWS WAF ACL を使用します。AWS WAF の標準料金が発生します。 はい
Visibility and Reporting
レイヤー 3/4 攻撃の通知 はい
レイヤー 3/4 攻撃のフォレンジックレポート (発生元 IP、攻撃ベクトルなど) はい
レイヤー 7 攻撃の通知 はい。AWS WAF を使用します。AWS WAF の標準料金が発生します。 はい
レイヤー 7 攻撃のフォレンジックレポート (トップトーカーのレポート、サンプリングされたリクエストなど) はい。を使用します。AWS WAFWeb ACL を作成します。AWS WAF の標準料金が発生します。 はい。を使用します。AWS WAFWeb ACL を作成するか、SRT がユーザーに代わって作成する Web ACL を作成します。AWS WAFは、Shield Advanced サブスクリプションに含まれています。
レイヤー 3/4/7 攻撃の履歴レポート はい
Shield Response Team (SRT) Support (ビジネスサポートプランまたはエンタープライズサポートプランに加入している必要があります。)
重要度が高いイベントでのイベント管理 はい
攻撃中のカスタム軽減策 はい
攻撃後の分析 はい
Cost Protection (DDoS スケーリング料金のサービスクレジット)
Elastic Load Balancing ad Balancer はい
Amazon EC2 Elastic IP アドレス はい
Amazon CloudFront ディストリビューション はい
Amazon Route 53 ホストゾーン はい
AWS Global Accelerator アクセラレーター はい

DDoS コスト保護をはじめとする AWS Shield Advanced のメリットは、1 年間のサブスクリプションコミットメントを達成することが条件となります。

注記

両方がAWS Shield StandardおよびAWS Shield Advancedは DDoS 攻撃に対して十分な保護を提供しますが、Amazon CloudWatch およびAWS CloudTrailを使用して、すべてのAWSのサービス。モニタリングの詳細については、AWS WAFCloudWatch と CloudTrail を使用して、AWS WAF、AWS Firewall Manager、AWS Shield Advanced のモニタリングおよびAWS CloudTrail による API コールのログ記録