AWS Shield(1)Shieldの概要

AWS Shield

AWS Shieldは、 DDoS攻撃 に対する保護を行う。 AWS Shield Standardは、追加料金なしで全てのユーザが使用できるサービスで、ウェブサイトやアプリケーションを標的とする、一般的かつ頻繁に発生するネットワークおよび転送レイヤーの DDoS 攻撃を防御する。

AWS Shield Advancedは、Amazon Elastic Compute Cloud、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53、AWS Global Acceleratorなどに対して行われる 高度な攻撃に対応する拡張保護を提供するAWS Shield Advanced を利用中にDDoS攻撃を受けた際には、 DDoS response team (DRT) にサポートを依頼できる。また、AWS Shield Advancedには、 AWS WAFが無償で付帯 されている。なお、DRTのサポートを受けるためには、 ビジネスサポートプラン以上の契約 が必要である。

多くの場合は、 AWS Shield Standard のみで対処可能である。

AWS Shield Advancedが対応可能なDDoS攻撃の例

DDoS攻撃は、一般的に以下のようなタイプに分類される。 AWS Shield Advanced は、これらのDDoS攻撃にも対応可能である。

名称 内容
UDP反射型攻撃 リクエストの発生元を偽装し、UDP を使用してサーバーから大量のレスポンスを引き出す
SYN フラッド 接続を半開状態にして、システムの利用可能なリソースを枯渇させる
DNS クエリフラッド DNS クエリを使用して DNS サーバーのリソースを枯渇させる
レイヤー 7攻撃 ウェブアプリケーションの実際のユーザーからのように見せかけて多数の HTTP リクエストを送信する

AWS(2)セキュリティの概要

AWSのセキュリティ

ユーザのデータは、安全性が高いデータセンターに保存される。また、複数のコンプライアンス要件に準拠している。SOC1 ISAE 3402などの複数のITセキュリティ基準に対応しており、その状況は、AWS Articraftから参照することが可能となっている。

AWSのコンプライアンスとセキュリティは、高度な自動化と、高い可用性高度な認定によって実現されている。

責任共有モデル

AWSは、クラウドのセキュリティを管理する。具体的には、AWSはCPU、メモリなどの物理マシンをはじめとしたインフラストラクチャの保護を行う。一方、ユーザは、クラウド内のセキュリティを管理する必要がある。

AWSの組み込みセキュリティ

AWSは、データの暗号化やアクセス管理などのセキュリティサービスを提供しており、Trusted Advisorは、AWS ベストプラクティスに従ってリソースをプロビジョニングするのに役立つ、リアルタイムガイダンスを行う。また、AWS Inspectorは、自動化されたセキュリティ評価サービスで、AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させることができる。EC2上にエージェントをインストールすることで診断可能となる。

AWS Shieldは、マネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができるAWS Shield Advancedは、大規模で洗練された DDoS 攻撃に対する追加の検出および緩和策と、ほぼリアルタイムの可視性を提供し、AWS WAFと統合されている。