緩和テクニック
AWS のサービスには、いくつかの DDoS 緩和策が最初から含まれています。以下の各セクションで説明するサービスを備えた AWS アーキテクチャを使用し、ユーザーとアプリケーション間のネットワークフローの各部分に追加のベストプラクティスを実装することで、DDoS 耐性をさらに向上させることができます。
AWS のお客様はすべて、追加料金なしで AWS Shield Standard の自動保護を利用できます。AWS Shield Standard は、ネットワークレイヤーおよびトランスポートレイヤーで、ウェブサイトやアプリケーションを標的として頻繁に発生する一般的な DDoS 攻撃を防御します。この保護は静的なもので、レポート作成や分析は行われません。事前構成済みで、常に有効になっています。AWS のすべてのサービスとすべての AWS リージョンで利用できます。AWS リージョンで DDoS 攻撃を検出する Shield Standard システムは、自動的にトラフィックのベースラインを決め、異常を特定します。さらに、必要に応じて、影響の拡大防止策も講じます。AWS Shield Standard を導入して、DDoS 耐性の高いアーキテクチャを構築すれば、ウェブアプリケーションもそれ以外のアプリケーションも保護できます。
また、Amazon CloudFront、Global Accelerator、Route 53 など、エッジロケーションから運用される AWS のサービスを利用して、既知のインフラストラクチャレイヤー攻撃に対する包括的な可用性保護態勢を構築することもできます。AWS Global Edge Network の一部であるこれらのサービスは、アプリケーションの DDoS 耐性を改善でき、世界中に分散したエッジロケーションからのあらゆるタイプのアプリケーショントラフィックを扱う場合に威力を発揮します。どの AWS リージョンでもアプリケーションを実行し、これらのサービスを使用してアプリケーションの可用性を保護して、正規のエンドユーザー向けにアプリケーションのパフォーマンスを最適化できます。
Amazon CloudFront、Global Accelerator、および Amazon Route 53 の使用には次のような利点があります。
-
AWS Global Edge Network 全体でインターネットと DDoS の緩和機能にアクセスできます。これは、テラビット規模に達する可能性のある、大規模な攻撃を軽減するために役立ちます。
-
AWS Shield の DDoS 緩和システムを AWS エッジサービスに統合して、緩和に要する時間を分単位から 1 秒未満に短縮できます。
-
ステートレス SYN フラッドに対する緩和テクニックにより、着信接続を中継し、その内容を確認したうえで、保護対象のサービスに渡します。これにより、有効な接続のみがアプリケーションに到達できるようになり、誤検知によって遮断されることのないよう正当なエンドユーザーを保護できます。
-
自動トラフィックエンジニアリングシステムにより、大規模な DDoS 攻撃の影響を分散または隔離できます。これらすべてのサービスによって、攻撃がオリジンに到達する前にソースで隔離されるため、これらのサービスで保護されているシステムへの影響が小さくなります。
-
AWS WAF との組み合わせにより、アプリケーションレイヤーに対する攻撃から防御できます。現在のアプリケーションアーキテクチャ (AWS リージョン、オンプレミスのデータセンターなど) を変更する必要はありません。
AWS 上のインバウンドデータ転送に対する料金は発生しません。また、AWS Shield によって緩和された DDoS 攻撃のトラフィックについても料金を支払う必要はありません。次のアーキテクチャ図には、AWS Global Edge Network サービスが含まれています。
このアーキテクチャには、ウェブアプリケーションで DDoS 攻撃に対する耐障害性を高めるために役立つ複数の AWS サービスが含まれています。「ベストプラクティスのまとめ」の表には、これらのサービスと、そのサービスが提供できる機能の概要が示されています。AWS では、このドキュメント内で参照しやすいように、各サービスにベストプラクティスインジケータ (BP1、BP2 など) を付けました。たとえば、Amazon CloudFront および Global Accelerator が提供する機能に関するセクションには、BP1 というベストプラクティスインジケータが付いています。
表 2 - ベストプラクティスのまとめ
| AWS エッジ | AWS リージョン | |||||
|---|---|---|---|---|---|---|
|
Amazon CloudFront (BP1) をAWS WAF (BP2) と共に使用 |
Global Accelerator (BP1) を使用 |
Amazon Route 53 (BP3) を使用 |
Elastic Load Balancing (BP6) を AWS WAF (BP2) と共に使用 |
Amazon VPC でセキュリティグループとネットワーク ACL (BP5) を使用 |
Amazon EC2 Auto Scaling (BP7) を使用 |
|
| レイヤー 3 攻撃 (UDP リフレクションなど) に対する緩和 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| レイヤー 4 攻撃 (SYN フラッドなど) に対する緩和 | ✔ | ✔ | ✔ | ✔ | ||
| レイヤー 6 攻撃 (TLS など) に対する緩和 | ✔ | ✔ | ✔ | ✔ | ||
| 攻撃対象領域の縮小 | ✔ | ✔ | ✔ | ✔ | ✔ | |
| アプリケーションレイヤーのトラフィックをスケールして吸収 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| レイヤー 7 (アプリケーション層) 攻撃に対する緩和 | ✔ | ✔(*) | ✔ | ✔ | ✔(*) | ✔(*) |
| 過剰なトラフィックや大規模な DDoS 攻撃を地理的に隔離、分散 | ✔ | ✔ | ✔ | |||
| ✔ (*): AWS WAF を Application Load Balancer と共に使用する場合 |
DDoS 攻撃に対応して緩和できるように備える方法は、AWS Shield Advanced をサブスクライブすることです。
お客様には、以下に基づいて適切な検出サービスが提供されます。
-
アプリケーションの特定なトラフィックパターン。
-
レイヤー 7 DDoS 攻撃に対する保護 (追加コストなしで AWS WAF を含む)。
-
AWS SRT からの専門サポート (24 時間 365 日)。
-
AWS Firewall Manager による、セキュリティポリシーの一元管理。
-
DDoS 関連の使用量の急増に起因するスケーリング料金の発生を防ぐためのコスト保護。
このようなオプションの DDoS 緩和サービスは、どの AWS リージョンにおいても、ホストされているアプリケーションの保護を支援します。このサービスは、CloudFront、Route 53、および Global Accelerator で世界中で利用できます。Shield Advanced を Elastic IP アドレスと共に使用すれば、Network Load Balancer (NLB) や Amazon EC2 のインスタンスを保護できます。
AWS Shield Advanced の使用には、次のような利点があります。
-
DDoS 攻撃によりアプリケーションの可用性が損なわれた場合に、AWS SRT にアクセスし、支援を求めることができます。
-
AWS Management Console、API、Amazon CloudWatch のメトリクスとアラームにより、DDoS 攻撃の状況を視覚的に把握できます。
-
過去 13 か月間のすべての DDoS イベントの履歴にアクセスできます。
-
AWS ウェブアプリケーションファイアウォール (AWS WAF) に追加料金なしでアクセスし、アプリケーションレイヤーへの DDoS 攻撃を緩和できます (Amazon CloudFront または Application Load Balancer と併用した場合)。
-
ウェブトラフィックの属性に関する自動ベースラインを使用できます (AWS WAF と併用した場合)。
-
AWS Firewall Manager にアクセスし (追加料金なし)、自動的にポリシーを適用できます。
-
検出のしきい値をきめ細かく設定することで、トラフィックを DDoS 緩和システムに早期にルーティングして、Amazon EC2 や Network Load Balancer に対する攻撃を緩和するまでの時間を短縮できます (Elastic IP アドレスと併用した場合)。
-
DDoS 攻撃によって生じたスケーリング関連のコストの一部について、コスト保護を利用して返金を求めることができます。
-
AWS Shield Advanced のお客様には、拡張された専用のサービスレベルアグリーメントが適用されます。
-
Shield イベントが検出された場合は、AWS SRT からプロアクティブなエンゲージメントが提供されます。
-
リソースをバンドルできる保護グループにより、複数のリソースを 1 つのユニットとして扱うことで、アプリケーションに対する攻撃の検出と緩和の範囲をセルフサービスでカスタマイズできます。リソースのグループ化により、検出の精度が向上し、誤検出を最小限に抑えることができます。新しく作成されたリソースの自動保護が容易になり、1 つのアプリケーションを構成する多数のリソースに対する攻撃を緩和するまでの時間を短縮できます。保護グループの詳細については、「Shield Advanced 保護グループ」を参照してください。
AWS Shield Advanced の機能の完全なリストおよび AWS Shield の詳細については、「AWS Shield の仕組み」を参照してください。
